CVE-2015-1394

**Nome do software vulnerável e versões afetadas:

Versões do plugin WordPress Photo Gallery anteriores à 1.2.11

Descrição:

A vulnerabilidade permite que usuários remotos autenticados injetem scripts web ou HTML arbitrários por meio de determinados parâmetros na ação addImages no endpoint da API “wp-admin/admin-ajax.php”. Os parâmetros vulneráveis incluem sort by, sort order, items view, dir, clipboard task, clipboard files, clipboard src e clipboard dest.

Recomendações:

Para versões do plugin WordPress Photo Gallery anteriores à 1.2.11, atualize para a versão 1.2.11 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint da API “wp-admin/admin-ajax.php” para usuários não confiáveis até que a atualização seja aplicada. Evite usar os parâmetros vulneráveis na ação addImages até que a vulnerabilidade seja resolvida.