CVE-2021-39340

**Nome do software vulnerável e versões afetadas:

Versões do plugin Notification para WordPress até a 7.2.4, inclusive

Descrição:

O problema decorre de uma validação e sanitização insuficientes de entradas por meio de vários parâmetros no arquivo ~/src/classes/Utils/Settings.php, permitindo que invasores com acesso de usuário administrativo injetem scripts web arbitrários. Isso afeta instalações multisite nas quais unfiltered html está desativado para administradores e sites nos quais unfiltered html está desativado.

Recomendações:

Para versões até e incluindo a 7.2.4, atualize para uma versão posterior à 7.2.4 para resolver o problema.

Como solução temporária, considere restringir o acesso ao arquivo ~/src/classes/Utils/Settings.php até que um patch esteja disponível.

Restrinja o acesso de usuários administrativos para minimizar o risco de exploração.

Certifique-se de que o unfiltered html esteja habilitado para administradores em instalações com vários sites e em sites onde ele esteja atualmente desabilitado, como medida temporária para evitar a exploração.