CVE-2023-7296

Plugin BigBlueButton para o WordPress, versões até e incluindo a 3.0.0-beta.4

O problema está relacionado a um ataque de Cross-Site Scripting armazenado (XSS), devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos campos de código do moderador e do visualizador. Isso permite que invasores autenticados com privilégios de autor ou superiores injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A vulnerabilidade pode ser explorada por invasores com privilégios de autor para injetar scripts arbitrários, que são executados durante as interações do usuário.

Para versões até e incluindo a 3.0.0-beta.4, considere desativar os campos de código do moderador e do visualizador como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a esses campos para minimizar o risco de exploração. Evite usar esses campos em páginas que possam ser acessadas por usuários até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.