CVE-2022-0661

Plugin Ad Injection para WordPress, versões 1.2.0.19 e anteriores

A falha permite que um usuário com privilégios elevados injete código HTML ou JavaScript arbitrário nas páginas, resultando em uma vulnerabilidade de script entre sites (XSS) armazenada. Também é possível injetar código PHP, levando a uma vulnerabilidade de execução remota de código (RCE), mesmo que as constantes DISALLOW FILE EDIT e DISALLOW FILE MOD estejam ambas definidas.

Para as versões 1.2.0.19 e anteriores do plugin Ad Injection para WordPress, atualize para uma versão posterior à 1.2.0.19 para resolver o problema.

Como solução temporária, considere restringir a capacidade unfiltered html para impedir que usuários com privilégios elevados injetem HTML ou JavaScript arbitrário.

Restrinja o acesso à funcionalidade de injeção de anúncios do plugin para minimizar o risco de exploração.

Evite usar o plugin até que o problema seja resolvido.