CVE-2023-6737

Plugin Enable Media Replace para versões do WordPress até a 4.1.4, inclusive

A vulnerabilidade permite a execução de Reflected Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas por meio do parâmetro SHORTPIXEL DEBUG. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A exploração requer que o invasor conheça o ID de um anexo enviado pelo usuário que está sendo atacado.

Para versões até a 4.1.4, inclusive, atualize para uma versão superior à 4.1.4 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro SHORTPIXEL DEBUG para minimizar o risco de exploração.