CVE-2021-41836

Versões do plugin Fathom Analytics para WordPress até a versão 3.0.4, inclusive

O problema decorre da validação insuficiente de entradas e do escape via parâmetro site id no arquivo ~/fathom-analytics.php, permitindo que invasores com acesso de usuário administrativo injetem scripts web arbitrários. Isso afeta instalações multisite nas quais unfiltered html está desativado para administradores, e sites nos quais unfiltered html está desativado.

Para versões até e incluindo a 3.0.4, atualize para uma versão que inclua as correções necessárias de validação de entrada e escapamento para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao arquivo ~/fathom-analytics.php ou desativar o parâmetro site id até que um patch esteja disponível. Além disso, revise e ajuste as configurações de unfiltered html para administradores a fim de minimizar o risco de exploração.