Nikolas Santos

**Nome do software vulnerável e versões afetadas** Plugin Beaver Builder para o WordPress, versões até a 2.7.4.2, inclusive **Descrição** A vulnerabilidade está relacionada a Stored Cross-Site Scripting no Icon Widget devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários nas páginas por meio dos parâmetros `fl builder data[node preview][link]` e `fl builder data[settings][link target]`. Esses scripts serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 2.7.4.2, inclusive, considere desativar o Icon Widget até que um patch esteja disponível para impedir a exploração. Restrinja o acesso aos parâmetros `fl builder data[node preview][link]` e `fl builder data[settings][link target]` para minimizar o risco de injeção de scripts web arbitrários. Evite usar esses parâmetros no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.