CVE-2024-12626

AutomatorWP – Plugin Automator para versões do WordPress até a 5.0.9, inclusive

O plugin AutomatorWP está vulnerável a um ataque de Cross-Site Scripting refletido (XSS) por meio do parâmetro a-0-o-search field value, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A vulnerabilidade pode ser explorada para executar código arbitrário quando usada em conjunto com o recurso de importação e ação de código do plugin. A vulnerabilidade está sendo ativamente explorada na natureza.

Para versões até a 5.0.9, inclusive, atualize para uma versão superior à 5.0.9 para resolver o problema.

Como solução temporária, considere restringir o acesso ao parâmetro a-0-o-search field value para minimizar o risco de exploração.

Evite usar o parâmetro a-0-o-search field value em páginas afetadas até que o problema seja resolvido.