CVE-2024-5439

Nome do software vulnerável e versões afetadas:

Tema Blocksy para o WordPress, versões até a 2.0.50, inclusive

Descrição:

O problema está relacionado a Cross-Site Scripting refletido (XSS) por meio do parâmetro custom url, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações:

Para o tema Blocksy para versões do WordPress até a 2.0.50, inclusive, atualize para uma versão superior à 2.0.50 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro custom url para minimizar o risco de exploração.