CVE-2019-6112

Plugin Sell Media versão 2.4.1 para WordPress

Uma vulnerabilidade de tipo Cross-site scripting (XSS) permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro keyword (também conhecido como $search term ou campo de pesquisa) no arquivo /inc/class-search.php. Isso permite que invasores executem scripts maliciosos no lado do cliente.

Para o plugin Sell Media versão 2.4.1, considere desativar a funcionalidade de pesquisa em /inc/class-search.php até que uma correção esteja disponível, ou evite usar o parâmetro keyword no endpoint da API afetado para minimizar o risco de exploração.