CVE-2021-24362

The Photo Gallery by 10Web – Plugin do WordPress para galeria de imagens otimizada para dispositivos móveis, versões anteriores à 1.5.75

O problema decorre da falha do plugin em garantir que os arquivos SVG enviados e adicionados a uma galeria não contenham conteúdo malicioso. Isso permite que usuários com permissão para adicionar imagens à galeria enviem um arquivo SVG contendo código JavaScript. Quando a imagem é acessada diretamente, por exemplo, na pasta /wp-content/uploads/photo-gallery/, o código JavaScript é executado, levando a um problema de Cross-Site Scripting (XSS).

Para versões anteriores à 1.5.75, atualize para a versão 1.5.75 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos usuários de enviar arquivos SVG para a galeria até que a atualização seja aplicada. Além disso, restrinja o acesso à pasta /wp-content/uploads/photo-gallery/ para minimizar o risco de exploração.