CVE-2021-24452

Versões do plugin W3 Total Cache para WordPress anteriores à 2.1.5

O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) refletida no parâmetro extension no painel de Extensões. Isso ocorre quando a configuração “Rastrear uso anonimamente para melhorar a qualidade do produto” está ativada e o parâmetro é exibido em um contexto JavaScript sem o escape adequado. Um invasor poderia explorar essa vulnerabilidade convencendo um administrador autenticado a clicar em um link, permitindo que o invasor execute JavaScript malicioso no navegador do usuário, o que poderia levar ao comprometimento total do site.

Para versões anteriores à 2.1.5, atualize para a versão 2.1.5 ou posterior para resolver o problema. Como solução temporária, considere desativar a configuração “Rastrear uso anonimamente para melhorar a qualidade do produto” até que um patch seja aplicado. Restrinja o acesso ao painel de Extensões para minimizar o risco de exploração. Evite usar o parâmetro extension no painel afetado até que o problema seja resolvido.