CVE-2020-35947

**Nome do software vulnerável e versões afetadas:

Versões do plugin PageLayer anteriores à 1.1.2

Descrição:

Foi descoberta uma falha no plugin PageLayer para WordPress, na qual quase todos os pontos finais de ação AJAX não possuíam verificações de permissão, permitindo que essas ações fossem executadas por qualquer pessoa autenticada no site. Isso ocorreu porque nonces foram utilizados como meio de autorização, mas um nonce estava presente em uma página visível publicamente. O maior impacto foi na função pagelayer save content, que permitia a modificação de páginas e a ocorrência de XSS.

Recomendações:

Para versões anteriores à 1.1.2, atualize para a versão 1.1.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a função pagelayer save content até que um patch esteja disponível. Restrinja o acesso aos pontos finais de ação AJAX para minimizar o risco de exploração.