Jouko Pynnöne

**Nome do software vulnerável e versões afetadas** MainWP Dashboard – O plugin “The Private WordPress Manager for Multiple Website Maintenance” para versões do WordPress até a 3.1.2, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting, que ocorre devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas por meio do parâmetro `mwp setup purchase username`. Os scripts injetados serão executados sempre que um usuário acessar uma página afetada. **Recomendações** Para versões até a 3.1.2, inclusive, atualize para uma versão posterior à 3.1.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `mwp setup purchase username` para minimizar o risco de exploração.