CVE-2022-2541

Plugin uContext for Amazon para o WordPress, versões até a 3.9.1, inclusive

O problema está relacionado a Cross-Site Request Forgery (CSRF) e Cross-Site Scripting (XSS) devido à falta de validação de nonce no arquivo ~/app/sites/ajax/actions/keyword save.php, que é chamado pela função doAjax(). Isso permite que invasores não autenticados modifiquem as configurações do plugin e injetem scripts maliciosos na web por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Para versões até a 3.9.1, inclusive, atualize para uma versão que inclua validação de nonce para prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso ao arquivo ~/app/sites/ajax/actions/keyword save.php para minimizar o risco de exploração. Além disso, restrinja o uso da função doAjax() até que um patch esteja disponível.