CVE-2024-11381

Plugin Control horas para o WordPress, versões até e incluindo a 1.0.1

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio do shortcode ‘ch registro’ do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário, como ch registro. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada, potencialmente por meio de pontos de extremidade de API como “/wp-admin/admin-ajax.php” com parâmetros vulneráveis como shortcode.

Para o plugin Control horas para versões do WordPress até e incluindo a 1.0.1, atualize para uma versão superior à 1.0.1 para resolver o problema.

Como solução temporária, considere desativar o shortcode ch registro até que um patch esteja disponível.

Restrinja o acesso a páginas que usam o shortcode ch registro para minimizar o risco de exploração.