CVE-2021-24494

Versões do plugin WP Offload SES Lite para WordPress anteriores à 1.4.5

O problema decorre da falta de escapamento de caracteres em determinados campos da página “Atividade” do painel de administração, tais como os campos id, subject e recipient do e-mail. Essa falha pode levar a problemas de Stored Cross-Site Scripting (XSS) quando um invasor obtém controle sobre qualquer um desses campos, por exemplo, manipulando o campo subject ao preencher um formulário de contato. O XSS será executado no contexto de um administrador conectado que esteja visualizando a guia Atividade do plugin.

Para versões anteriores à 1.4.5, atualize para a versão 1.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à guia Atividade do plugin para minimizar o risco de exploração. Evite usar os campos vulneráveis, como subject e recipient, na página Atividade até que o problema seja resolvido.