CVE-2024-12628

Plugin Easy Cache da bodi0 para o WordPress, versões até a 0.8, inclusive

A vulnerabilidade é um problema de Stored Cross-Site Scripting (XSS) por meio do parâmetro cache-folder, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O problema afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado.

Para versões até a 0.8, inclusive, considere desativar o parâmetro cache-folder até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin Easy Cache para minimizar o risco de exploração, especialmente em instalações multisite e onde unfiltered html foi desativado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.