CVE-2021-24763

Versões do plugin Perfect Survey para WordPress anteriores à 1.5.2

O problema está relacionado à falta de autorização adequada e verificações CSRF na ação AJAX save global setting. Isso permite que usuários não autenticados editem pesquisas e modifiquem configurações. Além disso, a falta de sanitização e escape nas configurações pode levar a um problema de Stored Cross-Site Scripting, que seria executado no contexto de um usuário visualizando qualquer pesquisa.

Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a ação AJAX save global setting até que um patch esteja disponível. Restrinja o acesso à funcionalidade de modificação de configurações para minimizar o risco de exploração. Evite usar o endpoint AJAX afetado até que o problema seja resolvido.