Quanhx Hxx

**Nome do software vulnerável e versões afetadas** Plugin “Import and export users and customers” para versões do WordPress até a 1.26.6.1, inclusive **Descrição** A vulnerabilidade decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores autenticados com acesso de administrador ou superior injetem scripts web arbitrários nas páginas por meio do cabeçalho do agente do usuário. Isso permite a execução dos scripts injetados sempre que um usuário acessar uma página afetada. **Recomendações** Para versões até a 1.26.6.1, inclusive, atualize para uma versão superior à 1.26.6.1 para resolver o problema. Como solução temporária, considere restringir o acesso de administrador apenas a usuários confiáveis até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin para importação e exportação de usuários e clientes para versões do WordPress até a 1.26.6.1, inclusive **Descrição** A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS armazenado) por meio das configurações de administração, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta apenas instalações multisite e instalações nas quais o recurso unfiltered html foi desativado. **Recomendações** Para versões até e incluindo a 1.26.6.1, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir as permissões de nível de administrador e superiores e habilite o unfiltered html para minimizar o risco de exploração.