CVE-2024-0848

Plugin AA Cash Calculator para WordPress, versão 1.0 e anteriores

A vulnerabilidade está relacionada a Cross-Site Scripting refletido (XSS) por meio do parâmetro invoice, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 1.0, considere desativar o parâmetro invoice até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin afetado para minimizar o risco de exploração. Evite usar o parâmetro invoice nas páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.