WordPress · Ninja Forms - File Uploads Extension · CVE-2022-0889
**Nome do software vulnerável e versões afetadas**
Ninja Forms - Extensão para upload de arquivos: versões do plugin do WordPress até a 3.3.12, inclusive
**Descrição**
O problema está relacionado a cross-site scripting refletido devido à falta de sanitização do parâmetro `filename` encontrado no arquivo ~/includes/ajax/controllers/uploads.php. Isso pode ser explorado por invasores não autenticados para adicionar scripts maliciosos a sites WordPress vulneráveis.
**Recomendações**
Para versões até e incluindo a 3.3.12, atualize para uma versão superior à 3.3.12 para resolver o problema.
Como solução temporária, considere restringir o acesso ao arquivo ~/includes/ajax/controllers/uploads.php até que um patch esteja disponível.
Evite usar o parâmetro `filename` no endpoint da API afetado até que o problema seja resolvido.