CVE-2024-7355

Plugin de organogramas para o WordPress até a versão 1.5.0, inclusive

A vulnerabilidade decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários nas páginas por meio dos parâmetros title input e node description. Isso permite a execução de scripts injetados sempre que um usuário acessa uma página afetada. Por padrão, a exploração é limitada aos administradores, mas os assinantes também podem explorar essa vulnerabilidade se tiverem permissão para usar e configurar organogramas.

Para versões até a 1.5.0, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída para evitar a exploração. Como solução temporária, considere restringir o acesso aos parâmetros title input e node description para minimizar o risco de injeção de scripts web arbitrários. Além disso, limitar a capacidade de usar e configurar gráficos apenas aos administradores pode ajudar a reduzir a superfície de ataque até que uma correção seja aplicada.