CVE-2024-4581

Nome do software vulnerável e versões afetadas:

Plugin Slider Revolution para o WordPress, versões até a 6.7.11, inclusive

Descrição:

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado por meio do widget Add Layer do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos atributos class, id e title fornecidos pelo usuário. Isso permite que invasores autenticados, com acesso de nível de autor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página infectada. A exploração bem-sucedida requer que um administrador conceda privilégios de criação de sliders a usuários de nível de autor.

Recomendações:

Para versões até a 6.7.11, inclusive, atualize para uma versão posterior à 6.7.11 para resolver o problema. Como solução temporária, considere restringir o uso do widget “Add Layer” ou desativá-lo até que um patch esteja disponível. Além disso, restrinja os privilégios de criação de sliders apenas a usuários confiáveis para minimizar o risco de exploração.