WordPress · Context · CVE-2022-2541
**Nome do software vulnerável e versões afetadas**
Plugin uContext for Amazon para o WordPress, versões até a 3.9.1, inclusive
**Descrição**
O problema está relacionado a Cross-Site Request Forgery (CSRF) e Cross-Site Scripting (XSS) devido à falta de validação de nonce no arquivo ~/app/sites/ajax/actions/keyword save.php, que é chamado pela função `doAjax()`. Isso permite que invasores não autenticados modifiquem as configurações do plugin e injetem scripts maliciosos na web por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link.
**Recomendações**
Para versões até a 3.9.1, inclusive, atualize para uma versão que inclua validação de nonce para prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso ao arquivo `~/app/sites/ajax/actions/keyword save.php` para minimizar o risco de exploração. Além disso, restrinja o uso da função `doAjax()` até que um patch esteja disponível.