CVE-2022-1750

Plugin Sticky Popup para versões do WordPress até a 1.2, inclusive

A vulnerabilidade está relacionada a Cross-Site Scripting (XSS) armazenado por meio do parâmetro popup title, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com privilégios de nível administrativo ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta principalmente sites onde a opção unfiltered html foi desativada para administradores e em instalações multisite onde a opção unfiltered html está desativada para administradores.

Para versões até a 1.2, inclusive, considere desativar o parâmetro popup title até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro popup title em páginas afetadas até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.