CVE-2020-13642

Versões do plugin SiteOrigin Page Builder anteriores à 2.10.16

Foi descoberta uma falha no plugin SiteOrigin Page Builder, na qual a função action builder content não realizava a verificação de nonce, permitindo que solicitações fossem falsificadas em nome de um administrador. A variável panels data $ POST permite que JavaScript malicioso seja executado no navegador da vítima.

Para versões anteriores à 2.10.16, atualize para a versão 2.10.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função action builder content até que um patch esteja disponível. Evite usar a variável panels data no plugin afetado até que o problema seja resolvido.