CVE-2022-4207

Plugin Image Hover Effects Ultimate para o WordPress, versões 9.8.1 a 9.8.4

O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado, devido à sanitização insuficiente de entradas e à falta de escapamento de saída em vários valores que podem ser adicionados a um Image Hover. Isso permite que invasores autenticados injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, apenas administradores têm acesso para editar Image Hovers, mas se a configuração “Quem pode editar?” for alterada para permitir que usuários com privilégios inferiores acessem os recursos do plugin, esses usuários também poderão explorar a vulnerabilidade.

Para as versões 9.8.1 a 9.8.4, considere desativar a edição de Image Hovers para usuários com privilégios mais baixos, ajustando a configuração “Quem pode editar?” para permitir acesso apenas a administradores até que uma correção esteja disponível.

Como solução temporária, restrinja o acesso aos recursos do plugin para minimizar o risco de exploração.

Evite usar os recursos vulneráveis do plugin até que a vulnerabilidade seja resolvida.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.