Unknown · Advanced Custom Fields Pro · CVE-2024-45429
Nome do software vulnerável e versões afetadas:
Advanced Custom Fields versões 6.3.5 e anteriores
Advanced Custom Fields Pro versões 6.3.5 e anteriores
Descrição:
Existe uma vulnerabilidade de script entre sites (XSS), permitindo que um invasor com privilégios de configuração `capability` armazene um script arbitrário no rótulo do campo. Esse script pode ser executado no navegador de um usuário conectado com os mesmos privilégios do invasor.
Recomendações:
Para as versões 6.3.5 e anteriores do Advanced Custom Fields, atualize para uma versão posterior à 6.3.5 para resolver o problema.
Para as versões 6.3.5 e anteriores do Advanced Custom Fields Pro, atualize para uma versão posterior à 6.3.5 para resolver o problema.
Como solução temporária, considere restringir o privilégio de configuração `capability` para minimizar o risco de exploração.