CVE-2022-1566

Versões do plugin Quotes llama para WordPress anteriores à 1.0.0

A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting mesmo quando a opção unfiltered html está desativada. Isso pode ser feito explorando a falta de sanitização e de escape de aspas. Além disso, o ataque pode ser realizado induzindo um administrador a importar um arquivo CSV malicioso.

Para versões anteriores à 1.0.0, atualize para a versão 1.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a importação de arquivos CSV e limitar a capacidade de usuários com privilégios elevados de inserir dados não sanitizados até que um patch seja aplicado.