Phyo Win Shein

**Nome do software vulnerável e versões afetadas** Versões do plugin Newsletter para WordPress anteriores à 7.4.6 **Descrição** O problema diz respeito a um ataque de Stored Cross-Site Scripting. Usuários com privilégios elevados poderiam explorar essa vulnerabilidade quando a opção `unfilteredhtml` está desativada, devido à falta de escapamento e sanitização adequados da configuração `preheader text`. **Recomendações** Para versões anteriores à 7.4.6, atualize para a versão 7.4.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração `preheader text` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Newsletter para WordPress anteriores à 7.4.5 **Descrição** O problema diz respeito a uma vulnerabilidade de XSS refletido. Ela ocorre porque a variável `$ SERVER[‘REQUEST URI’]` não é devidamente sanitizada e escapada antes de ser exibida nas páginas de administração. Embora os navegadores modernos codifiquem automaticamente as solicitações por URL, navegadores mais antigos, como o Internet Explorer 9 ou versões anteriores, ainda estão vulneráveis a esse problema. **Recomendações** Para versões anteriores à 7.4.5, atualize para a versão 7.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas de administração em navegadores mais antigos até que a atualização seja aplicada.