CVE-2021-24503

Versões anteriores à 2.7.8 do plugin Popular Brand Icons – Simple Icons para WordPress

A vulnerabilidade permite que usuários com uma função tão baixa quanto a de Colaborador definam carga de ataque Cross-Site em alguns parâmetros de shortcode, como color, size ou class, devido à falta de sanitização ou validação. Uma publicação feita por um colaborador ainda exigiria aprovação do administrador para acionar o XSS no front-end. No entanto, usuários com privilégios mais elevados, como editores, poderiam explorar essa vulnerabilidade sem precisar de aprovação, mesmo quando o blog desativa a capacidade unfiltered html.

Para versões anteriores à 2.7.8, atualize para a versão 2.7.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos parâmetros de shortcode vulneráveis, como color, size ou class, até que um patch esteja disponível. Além disso, restrinja o acesso às funcionalidades do plugin para usuários com privilégios mais baixos, como colaboradores, a fim de minimizar o risco de exploração.