CVE-2021-24334

Plugin Instant Images – One Click Unsplash Uploads para WordPress, versões anteriores à 4.4.0.1

O problema está relacionado à validação e sanitização inadequadas das configurações dos parâmetros unsplash download w e unsplash download h no endpoint da API /wp-admin/upload.php?page=instant-images. Isso leva a uma vulnerabilidade de Stored Cross-Site Scripting, permitindo que um invasor remoto execute ataques de cross-site scripting. A vulnerabilidade está associada à falta de medidas de proteção na estrutura da página da web.

Para versões do plugin Instant Images – One Click Unsplash Uploads para WordPress anteriores à 4.4.0.1, atualize para a versão 4.4.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /wp-admin/upload.php?page=instant-images até que a atualização seja aplicada. Além disso, evite usar os parâmetros unsplash download w e unsplash download h no endpoint afetado até que o problema seja resolvido.