CVE-2024-1989

Plugin de compartilhamento social – Sassy Social Share para versões do WordPress até a 3.3.58, inclusive

O problema está relacionado a um ataque de Cross-Site Scripting armazenado (XSS) por meio do shortcode Sassy Social Share do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário, como url. Isso permite que invasores autenticados com permissões de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até a 3.3.58, inclusive, considere desativar o shortcode Sassy Social Share até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao shortcode para usuários com permissões de nível de colaborador ou superior para minimizar o risco de injeção de scripts web arbitrários. Evite usar o atributo url no shortcode afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.