CVE-2024-10519

O plugin “The Wishlist for WooCommerce: Multi Wishlists Per Customer PRO” para o WordPress, nas versões 3.0.8 a 3.1.2

A vulnerabilidade está relacionada a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas via o parâmetro wtab. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A vulnerabilidade afeta instalações do WordPress com versões de PHP <=7.4.

Para as versões 3.0.8 a 3.1.2, considere desativar o parâmetro wtab até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin afetado para minimizar o risco de exploração. Evite usar o parâmetro wtab nas páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.