WordPress · Easy Contact Form Pro · CVE-2021-24168
**Nome do software vulnerável e versões afetadas:
Versões do plugin Easy Contact Form Pro para WordPress anteriores à 1.1.1.9
Descrição:
O problema decorre da sanitização inadequada de campos de texto, como Assunto do e-mail e Destinatário do e-mail, ao criar ou editar um formulário. Isso leva a uma vulnerabilidade de cross-site scripting (XSS) armazenada e autenticada, permitindo que contas com privilégios médios, como autores e editores, realizem ataques XSS contra contas com privilégios elevados, como administradores.
Recomendações:
Para versões anteriores à 1.1.1.9, atualize para a versão 1.1.1.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos recursos de criação e edição de formulários apenas a contas com privilégios elevados, até que a atualização possa ser aplicada.