CVE-2024-10260

Plugin Tripetto para o WordPress, versões até a 8.0.3, inclusive

O plugin Tripetto para WordPress está vulnerável a Stored Cross-Site Scripting (XSS) por meio de uploads de arquivos devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar o arquivo.

Para versões até a 8.0.3, inclusive, atualize para uma versão posterior à 8.0.3 para resolver o problema. Como solução temporária, considere restringir o upload de arquivos apenas a usuários confiáveis até que um patch esteja disponível. Além disso, restrinja o acesso aos arquivos enviados para minimizar o risco de exploração.