CVE-2024-7090

Plugin LH Add Media From Url para o WordPress, versões até a 1.23, inclusive

O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. O parâmetro lh add media from url-file url é especificamente vulnerável a esse tipo de ataque.

Para versões até a 1.23, inclusive, considere desativar o parâmetro lh add media from url-file url até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin LH Add Media From Url para minimizar o risco de ataques de Cross-Site Scripting refletido. Evite usar o parâmetro lh add media from url-file url em páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.