CVE-2024-12042

Plugin MStore API – Create Native Android & iOS Apps On The Cloud para o WordPress, versões até a 4.16.4, inclusive

A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio da funcionalidade de upload de foto de perfil, devido à validação insuficiente do tipo de arquivo. Isso permite que invasores autenticados com acesso de nível de assinante ou superior enviem arquivos HTML com scripts web arbitrários que serão executados sempre que um usuário acessar o arquivo.

Para versões até a 4.16.4, inclusive, atualize para uma versão que inclua validação de tipo de arquivo suficiente para impedir o upload de arquivos HTML maliciosos. Como solução temporária, considere restringir o acesso à funcionalidade de upload de foto de perfil para impedir a exploração. Além disso, restrinja a execução de scripts web arbitrários em arquivos enviados para minimizar o risco de ataques de Stored Cross-Site Scripting.