CVE-2024-1572

Plugin WP ULike para versões do WordPress até a 4.6.9, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do shortcode ‘wp ulike’ do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas no atributo wrapper class fornecido pelo usuário. Isso permite que invasores autenticados, com acesso de nível de colaborador ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página infectada.

Para versões até e incluindo a 4.6.9, atualize o plugin WP ULike para uma versão superior à 4.6.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao shortcode ‘wp ulike’ ou desativá-lo até que um patch esteja disponível. Evite usar o atributo wrapper class no shortcode ‘wp ulike’ até que o problema seja resolvido.