CVE-2024-8117

Nome do software vulnerável e versões afetadas:

Plugin The Ultimate WordPress Toolkit – WP Extended para versões do WordPress até a 3.0.8, inclusive

Descrição:

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting refletido (XSS) por meio do parâmetro selected option, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações:

Para versões até a 3.0.8, inclusive, atualize para uma versão posterior à 3.0.8 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro selected option para minimizar o risco de exploração.