CVE-2020-35748

**Nome do software vulnerável e versões afetadas:

Versões do plugin FV Flowplayer Video Player anteriores à 7.4.37.727

Descrição:

A vulnerabilidade permite que usuários remotos autenticados injetem scripts da web ou HTML arbitrários por meio do campo JSON fv wp fvvideoplayer src no parâmetro data. Trata-se de uma vulnerabilidade de cross-site scripting (XSS) no arquivo models/list-table.php.

Recomendações:

Para versões anteriores à 7.4.37.727, atualize para a versão 7.4.37.727 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo models/list-table.php ou desativar o campo JSON fv wp fvvideoplayer src no parâmetro data até que um patch seja aplicado.