CVE-2020-35582

**Nome do software vulnerável e versões afetadas:

Versões do Envira Gallery Lite anteriores à 1.8.3.3

Descrição:

Uma vulnerabilidade de script entre sites (XSS) armazenada permite que invasores remotos injetem código JavaScript/HTML arbitrário por meio de uma solicitação POST para “/wp-admin/post.php” com o parâmetro post title.

Recomendações:

Para versões do Envira Gallery Lite anteriores à 1.8.3.3, atualize para a versão 1.8.3.3 ou posterior para resolver a vulnerabilidade.

Como solução temporária, considere restringir o acesso ao endpoint “/wp-admin/post.php” para minimizar o risco de exploração.

Evite usar o parâmetro post title no endpoint da API afetado até que a vulnerabilidade seja resolvida.