CVE-2021-24535

Plugin Light Messages para WordPress, versão 1.0

O problema está relacionado à falta de uma verificação CSRF ao atualizar configurações e à falha na sanitização do Conteúdo da Mensagem, mesmo quando unfiltered html está desativado. Isso permite que um invasor faça com que um administrador conectado atualize as configurações para valores arbitrários e defina uma carga de Cross-Site Scripting no Conteúdo da Mensagem. A carga XSS pode ser acionada apenas no backend ou tanto no frontend quanto no backend, dependendo das opções definidas.

Para a versão 1.0, considere desativar a funcionalidade de atualização de configurações do plugin até que um patch esteja disponível para impedir atualizações arbitrárias e ataques de Cross-Site Scripting. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o campo Conteúdo da Mensagem nas configurações do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.