CVE-2024-1349

EmbedPress – Plugin para WordPress que permite incorporar PDFs, vídeos do YouTube, Google Docs, Vimeo, Wistia, áudios, mapas e quaisquer documentos no Gutenberg e no Elementor, para versões até a 3.9.8, inclusive

A vulnerabilidade está relacionada a Cross-Site Scripting (XSS) armazenado por meio dos códigos de atalho do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 3.9.8, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir as permissões de nível de colaborador e superiores para minimizar o risco de exploração. Além disso, restrinja o acesso aos códigos de atalho do plugin até que um patch esteja disponível.