CVE-2021-42365

Versões do plugin Asgaros Forums para WordPress até a versão 1.15.13, inclusive

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado, devido a uma escapagem insuficiente do parâmetro name encontrado no arquivo ~/admin/tables/admin-structure-table.php. Isso permite que invasores com acesso de usuário administrativo injetem scripts web arbitrários. O problema afeta instalações multisite nas quais unfiltered html está desativado para administradores e sites nos quais unfiltered html está desativado.

Para versões até e incluindo a 1.15.13, atualize para uma versão superior à 1.15.13 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo ~/admin/tables/admin-structure-table.php ou desativar o parâmetro name para minimizar o risco de exploração. Além disso, habilitar o unfiltered html para administradores em instalações multisite ou sites onde ele esteja atualmente desativado também pode mitigar o risco.