CVE-2020-35937

**Nome do software vulnerável e versões afetadas:

Versões do plugin Team Showcase anteriores à 1.22.16 para WordPress

Descrição:

A vulnerabilidade permite que invasores remotos autenticados importem layouts, incluindo JavaScript fornecido por meio de uma carga maliciosa hospedada remotamente no parâmetro source via AJAX, com a ação definida como team import xml layouts. Isso possibilita ataques de Stored Cross-Site Scripting (XSS).

Recomendações:

Para versões anteriores à 1.22.16, atualize para a versão 1.22.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint AJAX usado para importar layouts ou desativar a ação team import xml layouts até que um patch seja aplicado. Evite usar o parâmetro source no endpoint AJAX afetado até que o problema seja resolvido.