CVE-2022-1028

Versões anteriores à 4.2.1 do plugin WordPress Security Firewall, Malware Scanner, Secure Login and Backup

A vulnerabilidade permite que usuários mal-intencionados com privilégios de administrador armazenem código JavaScript malicioso, levando a ataques de Cross-Site Scripting quando o unfiltered html está desativado, como em uma configuração multisite. Isso ocorre devido à falha do plugin em sanitizar e escapar corretamente algumas de suas configurações.

Para versões anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir os privilégios de administrador apenas a usuários confiáveis até que a atualização seja aplicada.