CVE-2023-6934

Plugin Limit Login Attempts Reloaded para versões do WordPress até a 2.25.26, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio dos shortcodes do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário, como attributes dos usuários. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada, potencialmente por meio de API Endpoints como /wp-admin/admin.php.

Para versões até e incluindo a 2.25.26, atualize para uma versão superior à 2.25.26 para resolver o problema.

Como solução temporária, considere restringir o acesso aos códigos de atalho do plugin até que um patch esteja disponível.

Restrinja as permissões para usuários com nível de colaborador e superior para minimizar o risco de exploração.