CVE-2024-11900

O plugin “The Portfolio – Filterable Masonry Portfolio Gallery for Professionals” para o WordPress, nas versões até a 1.2.2, inclusive

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio do shortcode “portfolio-pro” do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 1.2.2, inclusive, considere desativar o shortcode ‘portfolio-pro’ até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a páginas que usam esse shortcode para minimizar o risco de injeção de scripts web arbitrários. Como solução temporária, limite o acesso de nível de colaborador e superior para impedir que invasores autenticados injetem scripts maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.