CVE-2023-6953

O plugin “PDF Generator For Fluent Forms – The Contact Form Plugin” para o WordPress, nas versões até a 1.1.7, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio dos parâmetros de conteúdo do cabeçalho, corpo do PDF e rodapé, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O nível de exploração depende de quem possui o direito de criar formulários concedido por um administrador, o que pode ser tão baixo quanto o de colaborador, mas, por padrão, é o de administrador.

Para versões até e incluindo a 1.1.7, atualize para uma versão superior à 1.1.7 para resolver o problema. Como solução temporária, considere restringir o direito de criar formulários apenas a administradores confiáveis para minimizar o risco de exploração. Além disso, restrinja o acesso aos parâmetros de conteúdo do cabeçalho, corpo do PDF e rodapé para impedir a injeção de scripts web arbitrários.