CVE-2024-5925

Nome do software vulnerável e versões afetadas:

Tema Theron Lite para o WordPress, versões até a 2.0, inclusive

Descrição:

A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior injetem scripts web arbitrários nas páginas por meio do parâmetro url dentro do shortcode Button do tema. Isso ocorre devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, possibilitando que os scripts injetados sejam executados sempre que um usuário acessar uma página afetada.

Recomendações:

Para o tema Theron Lite para versões do WordPress até a 2.0, inclusive, evite usar o parâmetro url no shortcode Button até que uma correção esteja disponível. Como solução alternativa temporária, considere restringir o acesso ao shortcode Button para usuários com acesso de nível Contributor ou superior, a fim de minimizar o risco de exploração.