CVE-2020-13643

Versões do plugin SiteOrigin Page Builder anteriores à 2.10.16

Uma falha no recurso de editor ao vivo do plugin SiteOrigin Page Builder permite que solicitações sejam falsificadas em nome de um administrador devido à falta de verificação de nonce. A variável $ POST live editor panels data pode ser explorada para executar JavaScript malicioso no navegador da vítima.

Para versões anteriores à 2.10.16, atualize para a versão 2.10.16 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de editor ao vivo até que um patch esteja disponível. Restrinja o acesso à variável $ POST live editor panels data para minimizar o risco de exploração.