CVE-2021-24208

**Nome do software vulnerável e versões afetadas:

Versões do plugin WP Page Builder para WordPress anteriores à 1.2.4

Descrição:

A vulnerabilidade permite que usuários com privilégios mais baixos insiram HTML não filtrado, incluindo JavaScript, nas páginas por meio dos widgets “Raw HTML” e “Custom HTML”. O widget “Custom HTML” requer o envio de uma solicitação maliciosa, pois utiliza validação do lado do cliente, mas não do lado do servidor. Essa inserção é feita por meio do parâmetro page builder data ao executar a ação AJAX wppb page save. Além disso, JavaScript malicioso pode ser inserido por meio do parâmetro wppb page css, fechando a tag de estilo e abrindo uma tag de script durante a ação AJAX wppb page save.

Recomendações:

Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior para resolver a vulnerabilidade.

Como solução temporária, considere desativar a ação AJAX wppb page save ou restringir o acesso aos parâmetros page builder data e wppb page css até que um patch esteja disponível.

Restrinja o uso dos widgets “Raw HTML” e “Custom HTML” para minimizar o risco de exploração.