CVE-2023-6987

Plugin String Locator para versões do WordPress até a 2.6.5, inclusive

A vulnerabilidade está relacionada a Cross-Site Scripting refletido (XSS) por meio do parâmetro sql-column, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A exploração dessa vulnerabilidade requer que o WP DEBUG esteja habilitado.

Para versões até a 2.6.5, inclusive, considere desativar o parâmetro sql-column até que um patch esteja disponível para impedir a injeção de scripts web arbitrários. Além disso, restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Certifique-se de que o WP DEBUG esteja desativado para reduzir a probabilidade de uma exploração bem-sucedida.