CVE-2021-24433

Plugin “simple sort&search” do WordPress, versões 0.0.3 e anteriores

O problema decorre do fato de o plugin simple sort&search do WordPress não validar o parâmetro indexurl de determinados shortcodes, incluindo category sims, order sims, orderby sims, period sims e tag sims, para garantir que utilizem protocolos de URL permitidos. Essa falha pode levar a um cross-site scripting armazenado, potencialmente explorável por usuários com uma função tão baixa quanto a de Colaborador.

Para as versões 0.0.3 e anteriores, como solução temporária, considere desativar os códigos de atalho category sims, order sims, orderby sims, period sims e tag sims até que um patch esteja disponível. Restrinja o acesso a esses códigos de atalho para minimizar o risco de exploração. Evite usar o parâmetro indexurl nos códigos de atalho afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.