James Myers

**Nome do software vulnerável e versões afetadas** Plugin “Custom Fonts – Host Your Fonts Locally” para o WordPress, versões até a 2.1.4, inclusive **Descrição** O problema decorre de uma sanitização insuficiente de entradas e de uma falta de escapamento de saídas, permitindo que invasores autenticados com privilégios de autor ou superiores injetem scripts web arbitrários nas páginas por meio do upload de arquivos SVG. Isso permite a execução dos scripts injetados sempre que um usuário acessa uma página afetada. **Recomendações** Para versões até a 2.1.4, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída, a fim de prevenir ataques de Stored Cross-Site Scripting.