CVE-2024-6305

Nome do software vulnerável e versões afetadas:

Versões do WordPress Core até a 6.5.5

Descrição:

O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado por meio do recurso “Template Part Block”, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas nos atributos tagName. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página afetada.

Recomendações:

Para versões até 6.5.5, atualize para uma versão que contenha uma correção para este problema a fim de evitar a exploração. Como solução temporária, considere restringir o acesso ao recurso Bloco de Parte de Modelo para usuários com acesso de nível de colaborador e superior até que um patch esteja disponível.