CVE-2024-1510

Plugin WP Shortcodes — Plugin Shortcodes Ultimate para versões do WordPress até a 7.0.2, inclusive

A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) por meio do shortcode su tooltip do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos e tags fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 7.0.2, inclusive, considere desativar o shortcode su tooltip até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a páginas que possam ter sido injetadas com scripts maliciosos para minimizar o risco de execução. Evite usar o shortcode su tooltip com atributos e tags fornecidos pelo usuário até que o problema seja resolvido.