CVE-2024-5426

Nome do software vulnerável e versões afetadas:

The Photo Gallery by 10Web – plugin de galeria de imagens otimizada para dispositivos móveis para versões do WordPress até a 1.8.23, inclusive

Descrição:

A vulnerabilidade está relacionada a Cross-Site Scripting (XSS) armazenado via o parâmetro svg, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Por padrão, a exploração é limitada a administradores, mas colaboradores nas versões profissionais do plugin também podem explorar essa vulnerabilidade se tiverem permissão para usar e configurar o Photo Gallery.

Recomendações:

Para versões até a 1.8.23, inclusive, atualize para uma versão posterior à 1.8.23 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao parâmetro svg para minimizar o risco de exploração. Além disso, limitar a capacidade de usar e configurar o Photo Gallery apenas a administradores confiáveis pode ajudar a reduzir a superfície de ataque.