Younghun Lee

**Nome do Software Vulnerável e Versões Afetadas** Easy Image Collage versões anteriores a 1.13.7 **Description** O plugin Easy Image Collage para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado resultante de sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de autor ou superior podem injetar scripts web arbitrários em páginas através dos parâmetros `grid[properties][borderColor]` e `grid[images][N][attachment url]`. Esses scripts são executados sempre que um usuário visita a página afetada. O problema persiste porque os dados são armazenados usando a função `update post meta()` em vez de `wp insert post()`, ignorando a restrição `unfiltered html` normalmente usada pelo WordPress para controlar as permissões de autores. **Recommendations** Atualize para uma versão posterior a 1.13.6. Como mitigação temporária, restrinja o acesso de nível de autor aos parâmetros `grid[properties][borderColor]` e `grid[images][N][attachment url]`.