CVE-2021-24618

Versões do plugin “Donate With QRCode” para WordPress anteriores à 1.4.5

O problema está relacionado a um ataque de Stored Cross-Site Scripting (XSS). O plugin não sanitiza nem escapa sua configuração de imagem de código QR, permitindo que qualquer usuário autenticado, ou usuário não autenticado por meio de um vetor CSRF, atualize a configuração e execute um ataque. A falta de verificações de CSRF e de permissão ao salvar a configuração permite que qualquer usuário autenticado, incluindo aqueles com privilégios limitados, como assinantes, atualize a configuração.

Para versões anteriores à 1.4.5, atualize para a versão 1.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração da imagem do QR Code para minimizar o risco de exploração. Além disso, restrinja a capacidade de usuários com privilégios limitados, como assinantes, de atualizar configurações que possam ser potencialmente usadas para ataques XSS.