CVE-2023-6738

The Page Builder: Pagelayer – plugin de criação de sites com recurso de arrastar e soltar para o WordPress, versões até a 1.7.8, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio dos metacampos pagelayer header code, pagelayer body open code e pagelayer footer code, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade parece ser uma reintrodução de um problema corrigido anteriormente na versão 1.7.7.

Para versões até e incluindo a 1.7.8, considere atualizar para uma versão que inclua a correção para este problema, já que a vulnerabilidade foi reintroduzida após ter sido corrigida na versão 1.7.7.

Como solução temporária, considere restringir o acesso aos metacampos pagelayer header code, pagelayer body open code e pagelayer footer code para minimizar o risco de exploração.

Evite usar esses campos até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.