CVE-2020-11512

Plugin IMPress for IDX Broker para WordPress, versões anteriores à 2.6.2

A vulnerabilidade permite que invasores autenticados com permissões mínimas salvem código JavaScript arbitrário no painel de configurações do plugin por meio da ação AJAX idx update recaptcha key e de um parâmetro idx recaptcha site key manipulado. Esse JavaScript salvo seria então executado no navegador de qualquer administrador que visitasse o painel, podendo levar à criação de novas contas com privilégios de administrador.

Para versões anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de configurações para evitar possíveis explorações.