CVE-2023-6629

O plugin POST SMTP Mailer – Email log, Delivery Failure Notifications e Best Mail SMTP para WordPress, para versões do WordPress até a 2.8.6, inclusive

O problema está relacionado a Cross-Site Scripting refletido por meio do parâmetro msg, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Para versões até a 2.8.6, inclusive, considere desativar o parâmetro msg até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a áreas onde o parâmetro msg é usado para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro msg em áreas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.