CVE-2024-10890

WPAdverts – Plugin de classificados, versões anteriores à 2.1.8

O problema está relacionado a um ataque de Cross-Site Scripting refletido, que ocorre devido ao uso das funções add query arg e remove query arg sem o escapamento adequado na URL. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 2.1.7, atualize para uma versão posterior à 2.1.7 para resolver o problema.

Como solução temporária, considere restringir o acesso a páginas potencialmente vulneráveis até que um patch esteja disponível.