Ionut Morosan

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Offload SES Lite para WordPress anteriores à 1.4.5 **Descrição** O problema decorre da falta de escapamento de caracteres em determinados campos da página “Atividade” do painel de administração, tais como os campos `id`, `subject` e `recipient` do e-mail. Essa falha pode levar a problemas de Stored Cross-Site Scripting (XSS) quando um invasor obtém controle sobre qualquer um desses campos, por exemplo, manipulando o campo `subject` ao preencher um formulário de contato. O XSS será executado no contexto de um administrador conectado que esteja visualizando a guia Atividade do plugin. **Recomendações** Para versões anteriores à 1.4.5, atualize para a versão 1.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à guia Atividade do plugin para minimizar o risco de exploração. Evite usar os campos vulneráveis, como `subject` e `recipient`, na página Atividade até que o problema seja resolvido.