CVE-2021-43409

WPO365 | LOGIN – versões do plugin para WordPress até a 15.3, inclusive

O plugin WPO365 | LOGIN para WordPress está sujeito a uma vulnerabilidade persistente de Cross-Site Scripting (XSS). Esse tipo de vulnerabilidade ocorre quando a aplicação armazena e recupera dados fornecidos pelo cliente sem o tratamento adequado de conteúdo perigoso. Um invasor poderia explorar isso para realizar uma série de ataques contra usuários do aplicativo afetado, como sequestro de sessão, apropriação de conta e acesso a dados confidenciais. A carga útil XSS pode ser enviada por qualquer usuário anônimo e é renderizada e executada quando um administrador do WordPress se autentica e acessa o Painel do WordPress. A carga útil injetada pode realizar ações em nome do administrador, incluindo adicionar outros usuários administrativos e alterar configurações do aplicativo.

Para as versões do plugin WPO365 | LOGIN WordPress até e incluindo a 15.3, atualize para uma versão posterior à 15.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao Painel de Controle do WordPress para administradores até que um patch esteja disponível. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre medidas de mitigação adicionais.