CVE-2022-1994

Versões anteriores à 1.0.8 do plugin para WordPress “Login With OTP Over SMS, Email, WhatsApp and Google Authenticator”

A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting, mesmo quando o unfiltered html está desativado, devido ao plugin não aplicar escape nas suas configurações.

Para versões anteriores à 1.0.8, atualize para a versão 1.0.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para usuários com privilégios elevados até que a atualização seja aplicada.