CVE-2024-45429

Nome do software vulnerável e versões afetadas:

Advanced Custom Fields versões 6.3.5 e anteriores

Advanced Custom Fields Pro versões 6.3.5 e anteriores

Descrição:

Existe uma vulnerabilidade de script entre sites (XSS), permitindo que um invasor com privilégios de configuração capability armazene um script arbitrário no rótulo do campo. Esse script pode ser executado no navegador de um usuário conectado com os mesmos privilégios do invasor.

Recomendações:

Para as versões 6.3.5 e anteriores do Advanced Custom Fields, atualize para uma versão posterior à 6.3.5 para resolver o problema.

Para as versões 6.3.5 e anteriores do Advanced Custom Fields Pro, atualize para uma versão posterior à 6.3.5 para resolver o problema.

Como solução temporária, considere restringir o privilégio de configuração capability para minimizar o risco de exploração.