CVE-2024-1386

MailerLite – Plugin de formulários de inscrição para o WordPress, versões 1.5.0 a 1.7.6

A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) por meio dos códigos de atalho (shortcodes) do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos atributos fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de colaborador ou superior injetem scripts web arbitrários em páginas, que serão executados sempre que um usuário acessar uma página infectada.

Para as versões 1.5.0 a 1.7.6, atualize o plugin para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso aos códigos de atalho do plugin para minimizar o risco de exploração. Além disso, restrinja as permissões para impedir que invasores autenticados com permissões de nível de colaborador ou superior injetem scripts da web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.