CVE-2024-2506

Plugin “The Popup Builder – Create highly converting, mobile friendly marketing popups” para versões do WordPress até a 4.2.7, inclusive

A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) por meio da funcionalidade de JavaScript personalizada, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos atributos fornecidos pelo usuário. Isso permite que invasores autenticados, com acesso de nível de colaborador ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Para versões até a 4.2.7, inclusive, atualize para uma versão superior à 4.2.7 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade JS personalizada para minimizar o risco de exploração.