CVE-2024-4575

Nome do software vulnerável e versões afetadas:

Plugin LayerSlider para WordPress, versão 7.11.0

Descrição:

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado (Stored Cross-Site Scripting) por meio do shortcode ls search form do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Recomendações:

Para a versão 7.11.0, considere desativar o shortcode ls search form até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao shortcode para usuários com acesso de nível de colaborador ou superior, a fim de minimizar o risco de injeção de scripts web arbitrários.