CVE-2020-35589

Versões do plugin limit-login-attempts-reloaded anteriores à 2.17.4 para WordPress

A vulnerabilidade permite que um usuário mal-intencionado faça com que um usuário administrador forneça conteúdo perigoso à página vulnerável, que é então refletido de volta ao usuário e executado pelo navegador da web. O mecanismo mais comum para entregar conteúdo malicioso é incluí-lo como um parâmetro em uma URL publicada publicamente ou enviada diretamente por e-mail às vítimas. Isso ocorre por meio do endpoint da API “wp-admin/options-general.php?page=limit-login-attempts&tab=”.

Para versões do plugin limit-login-attempts-reloaded anteriores à 2.17.4, atualize para a versão 2.17.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “wp-admin/options-general.php?page=limit-login-attempts&tab=” até que um patch seja aplicado. Evite usar este endpoint com entradas não confiáveis para minimizar o risco de exploração.