CVE-2022-4028

Plugin Simple:Press para o WordPress até a versão 6.8, inclusive

A vulnerabilidade permite Stored Cross-Site Scripting (XSS) armazenado por meio do parâmetro postitem ao modificar uma assinatura de perfil. Isso se deve à sanitização insuficiente de entradas e à falta de escapamento de saídas, possibilitando a injeção de tags de objeto e de incorporação. Invasores autenticados com permissões mínimas podem injetar scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página com o script injetado.

Para versões até a 6.8, inclusive, considere desativar o recurso de modificação da assinatura do perfil até que um patch esteja disponível para impedir a exploração.

Restrinja o acesso ao parâmetro postitem para minimizar o risco de injeção de scripts web arbitrários.

Evite usar o parâmetro postitem na ação de salvar perfil até que o problema seja resolvido.