CVE-2021-42361

Versões do plugin Contact Form Email para WordPress até a 1.3.24, inclusive

O problema decorre da validação insuficiente de entradas e do escape via o parâmetro name no arquivo ~/trunk/cp-admin-int-list.inc.php, permitindo que invasores com acesso de usuário administrativo injetem scripts web arbitrários. Isso afeta instalações multisite nas quais o unfiltered html está desativado para administradores, e sites nos quais o unfiltered html está desativado.

Para versões até e incluindo a 1.3.24, atualize para uma versão que inclua as correções necessárias de validação de entrada e escapamento para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao parâmetro name no arquivo afetado até que um patch esteja disponível. Além disso, revise e ajuste as configurações de unfiltered html para administradores a fim de minimizar o risco de exploração.