CVE-2024-1723

Plugin SiteOrigin Widgets Bundle para o WordPress, versões até a 1.58.7, inclusive

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de colaborador ou superior injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página infectada. Os parâmetros afetados incluem: instance[‘fonts’][‘title options’][‘tag’], headline tag, sub headline tag, feature[‘icon’].

Para versões até e incluindo a 1.58.7, atualize para uma versão que corrija o problema de Stored Cross-Site Scripting para evitar a exploração. Como solução temporária, considere restringir o acesso aos parâmetros instance[‘fonts’][‘title options’][‘tag’], headline tag, sub headline tag, feature[‘icon’] para minimizar o risco de injeção de scripts arbitrários.