CVE-2020-28707

**Nome do software vulnerável e versões afetadas:

Versões do plugin Stockdio Historical Chart anteriores à 2.8.1

Descrição:

A vulnerabilidade afeta o plugin Stockdio Historical Chart para WordPress, onde a origem de um evento postMessage() não é validada. Isso permite que código JavaScript de um site diferente chame window.open para a instância vulnerável do WordPress e envie um evento postMessage, podendo levar a um ataque de Cross Site Scripting (XSS). A função stockdio eventer escuta qualquer evento postMessage e avalia o data.method recebido do evento, caso os tipos data e data.method não estejam indefinidos.

Recomendações:

Para versões anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a função stockdio eventer até que um patch esteja disponível. Restrinja o acesso ao arquivo stockdio chart historical-wp.js no diretório wp-content/plugins/stockdio-historical-chart/assets/ para minimizar o risco de exploração. Evite usar a função postMessage com origens não validadas até que o problema seja resolvido.