Waseem Tesqie

**Nome do software vulnerável e versões afetadas** Plugin Contact Form Manager para o WordPress, versões até e incluindo a 1.6.1 **Descrição** O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas nos atributos fornecidos pelo usuário no shortcode [xyz-cfm-form] do plugin, permitindo que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página injetada. **Recomendações** Para versões até a 1.6.1, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso ao shortcode [xyz-cfm-form] para usuários com permissões de nível de colaborador ou superior, a fim de minimizar o risco de exploração.