CVE-2022-2936

Plugin Image Hover Effects Ultimate para o WordPress, versões até a 9.7.3, inclusive

A vulnerabilidade decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas nos valores de Video Link que podem ser adicionados a um Image Hover. Isso permite que invasores autenticados injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, apenas administradores têm acesso para editar Image Hovers, mas se a configuração “Quem pode editar?” for alterada para permitir que usuários com privilégios inferiores acessem os recursos do plugin, esses usuários também poderão explorar a vulnerabilidade.

Para versões até a 9.7.3, inclusive, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting.

Como solução temporária, considere restringir o acesso ao recurso de edição do Image Hover apenas a usuários com privilégios elevados, como administradores, para minimizar o risco de exploração.