CVE-2022-34648

Plugin dmitrylitvinov para upload de arquivos SVG, WEBP e ICO, versão 1.0.1 e anteriores

O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Essa vulnerabilidade pode ser explorada por um usuário autenticado com privilégios de autor ou superiores. A vulnerabilidade é causada pela capacidade de fazer upload de arquivos SVG, WEBP e ICO, que podem conter scripts maliciosos.

Para o plugin dmitrylitvinov Uploading SVG, WEBP and ICO files versão 1.0.1 e anteriores, atualize para uma versão posterior à 1.0.1 para resolver o problema. Como solução temporária, considere desativar o upload de arquivos SVG, WEBP e ICO até que um patch esteja disponível. Restrinja o acesso à funcionalidade de upload do plugin para minimizar o risco de exploração.