CVE-2022-2937

Plugin Image Hover Effects Ultimate para versões do WordPress até a 9.7.3, inclusive

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio dos valores Title e Description, que podem ser adicionados a um efeito de foco de imagem devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, o plugin permite que apenas administradores editem Image Hovers, mas se um administrador do site disponibilizar os recursos do plugin para usuários com privilégios inferiores por meio da configuração Quem pode editar?, isso poderá ser explorado por esses usuários.

Para versões até a 9.7.3, inclusive, considere desativar a edição de Image Hovers para usuários com privilégios mais baixos, restringindo o acesso à configuração Quem pode editar? até que um patch esteja disponível. Como solução temporária, restrinja o uso dos campos Título e Descrição no plugin Image Hover Effects Ultimate para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.