CVE-2022-1756

Versões do plugin Newsletter para WordPress anteriores à 7.4.5

O problema diz respeito a uma vulnerabilidade de XSS refletido. Ela ocorre porque a variável $ SERVER[‘REQUEST URI’] não é devidamente sanitizada e escapada antes de ser exibida nas páginas de administração. Embora os navegadores modernos codifiquem automaticamente as solicitações por URL, navegadores mais antigos, como o Internet Explorer 9 ou versões anteriores, ainda estão vulneráveis a esse problema.

Para versões anteriores à 7.4.5, atualize para a versão 7.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas de administração em navegadores mais antigos até que a atualização seja aplicada.