CVE-2022-2429

Plugin Ultimate SMS Notifications for WooCommerce para versões do WordPress até a 1.4.1, inclusive

O problema está relacionado a uma vulnerabilidade de injeção de CSV na funcionalidade “Export Utility”. Isso permite que invasores autenticados, como assinantes, insiram dados não confiáveis nas informações de cobrança, como o nome, o que pode resultar na execução de código quando o arquivo CSV exportado for baixado e aberto em um sistema local com uma configuração vulnerável. A vulnerabilidade pode ser explorada por um invasor remoto para realizar ataques de cross-site scripting.

Para versões até a 1.4.1, inclusive, considere desativar a funcionalidade “Export Utility” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às informações de cobrança para minimizar o risco de invasores incorporarem entradas maliciosas. Como solução alternativa temporária, evite usar o recurso “Export Utility” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.