CVE-2024-2306

Plugin Revslider para o WordPress, versões até a 6.6.20, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do upload de arquivos SVG, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, isso só pode ser explorado por administradores, mas a capacidade de usar e configurar o Revslider pode ser estendida a autores.

Para versões até a 6.6.20, inclusive, atualize para uma versão superior à 6.6.20 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de upload de SVG para minimizar o risco de exploração. Além disso, limite a capacidade de usar e configurar o RevSlider apenas a administradores confiáveis para reduzir a superfície de ataque potencial.