CVE-2022-2935

Plugin Image Hover Effects Ultimate para versões do WordPress até a 9.7.3, inclusive

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio do valor da URL da imagem de mídia, que pode ser adicionado a um efeito de foco de imagem devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, o plugin permite que apenas administradores editem Image Hovers, mas se um administrador do site disponibilizar os recursos do plugin para usuários com privilégios inferiores por meio da configuração “Quem pode editar?”, esses usuários poderão explorar a vulnerabilidade.

Para versões até a 9.7.3, inclusive, considere desativar a edição de Image Hovers para usuários com privilégios mais baixos, ajustando a configuração “Quem pode editar?” para evitar a exploração. Como solução temporária, restrinja o acesso ao valor da URL da imagem de mídia para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão posterior à 9.7.3 quando disponível.