CVE-2024-6283

Nome do software vulnerável e versões afetadas:

Plugin DethemeKit For Elementor para o WordPress, versões até e incluindo a 2.1.5

Descrição:

A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) armazenado, via o parâmetro de URL do widget De Gallery, devido à sanitização insuficiente de entradas e à falta de escapamento de saída em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário clicar no link injetado.

Recomendações:

Para versões até e incluindo a 2.1.5, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting.

Como solução temporária, considere restringir o acesso ao widget De Gallery para usuários com acesso de nível de colaborador e superior até que um patch esteja disponível.