CVE-2023-6993

Plugin “Custom post types, Custom Fields & more” para versões do WordPress até a 5.0.4, inclusive

O problema decorre da sanitização insuficiente de entradas e da falta de escapamento de saídas nos valores de metadados de postagens fornecidos pelo usuário, permitindo que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários nas páginas. Isso pode levar à execução de scripts injetados sempre que um usuário acessar uma página afetada.

Para versões até a 5.0.4, inclusive, atualize para uma versão posterior à 5.0.4 para resolver o problema.

Como solução temporária, considere restringir o acesso ao shortcode do plugin e aos recursos de metadados de postagem personalizados para minimizar o risco de exploração.