CVE-2021-36845

Versões do YITH Maintenance Mode <= 1.3.8

Existem várias vulnerabilidades de Cross-Site Scripting (XSS) armazenado e autenticado no plugin YITH Maintenance Mode para WordPress. Há 46 parâmetros vulneráveis que não foram corrigidos pelo fornecedor durante a atualização da versão 1.3.7 para a 1.3.8. Os parâmetros vulneráveis incluem aqueles nas guias “Newsletter”, “General”, “Background”, “Logo” e “Socials”. Por exemplo, o parâmetro yith maintenance newsletter submit label é vulnerável a ataques XSS, nos quais uma carga útil que comece com um símbolo de aspa simples pode quebrar o contexto e acionar um alerta quando um administrador visita a página.

Para resolver o problema nas versões <= 1.3.8, atualize para uma versão superior à 1.3.8.

Como solução temporária, considere desativar os parâmetros vulneráveis, como yith maintenance newsletter submit label, yith maintenance message, yith maintenance custom style e outros, até que um patch esteja disponível.

Restrinja o acesso às guias vulneráveis, incluindo “Newsletter”, “General”, “Background”, “Logo” e “Socials”, para minimizar o risco de exploração.

Evite usar os parâmetros vulneráveis nos endpoints da API afetados até que o problema seja resolvido.