CVE-2021-24369

Versões do plugin GetPaid para WordPress anteriores à 2.3.4

O problema diz respeito ao plugin GetPaid para WordPress, no qual usuários com a função de colaborador ou superior podem criar um novo formulário de pagamento. No entanto, os campos de entrada “Label” e “Help Text” não foram devidamente sanitizados, permitindo a injeção de conteúdo malicioso, como tags img. Isso leva a um problema de Stored Cross-Site Scripting, que é acionado quando o formulário é editado, por exemplo, quando um administrador o revisa, e pode levar à escalada de privilégios.

Para versões anteriores à 2.3.4, atualize para a versão 2.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com a função de colaborador ou superior de criar novos formulários de pagamento até que a atualização seja aplicada. Além disso, restrinja o acesso aos campos de entrada “Rótulo” e “Texto de Ajuda” para minimizar o risco de exploração.