CVE-2024-8850

Nome do software vulnerável e versões afetadas:

MC4WP: plugin Mailchimp for WordPress para as versões 4.9.9 a 4.9.16 do WordPress

Descrição:

O problema está relacionado a Cross-Site Scripting refletido (XSS) por meio do parâmetro email quando um placeholder como {email} é usado no campo. Isso se deve à sanitização insuficiente de entradas e à falta de escapamento de saídas, possibilitando que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações:

Para as versões 4.9.9 a 4.9.16, considere desativar o uso do parâmetro email com placeholders até que um patch esteja disponível.

Restrinja o acesso a páginas que usam o parâmetro email para minimizar o risco de exploração.

Evite usar o parâmetro email em campos afetados até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.