CVE-2021-24294

DSGVO All in one for WP versões anteriores à 4.0

O problema está relacionado à falha na neutralização de elementos especiais, o que pode levar a ataques de cross-site scripting (XSS). Um invasor não autenticado pode explorar essa vulnerabilidade enviando parâmetros POST maliciosos, obtendo potencialmente acesso não autorizado para criar uma conta de administrador fraudulenta. Isso pode ser desencadeado quando um administrador visualiza os logs, especificamente na página Log no painel de controle do administrador, acessada por meio de wp-admin/admin.php?page=dsgvoaiofree-show-log. A ação AJAX dsgvoaio write log é particularmente vulnerável devido à falta de sanitização ou escape de certos parâmetros POST.

Para versões anteriores à 4.0, atualize para a versão 4.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página Log no painel de controle do administrador para minimizar o risco de exploração. Evite usar a ação AJAX dsgvoaio write log até que o problema seja resolvido.