CVE-2020-35581

**Nome do software vulnerável e versões afetadas:

Versões do Envira Gallery Lite anteriores à 1.8.3.3

Descrição:

Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores remotos injetem código JavaScript/HTML arbitrário por meio de uma solicitação POST para “/wp-admin/admin-ajax.php” com o parâmetro meta[title].

Recomendações:

Para versões do Envira Gallery Lite anteriores à 1.8.3.3, atualize para a versão 1.8.3.3 ou posterior para resolver a vulnerabilidade.

Como solução temporária, considere restringir o acesso ao endpoint “/wp-admin/admin-ajax.php” para minimizar o risco de exploração.

Evite usar o parâmetro meta[title] no endpoint da API afetado até que a vulnerabilidade seja resolvida.