CVE-2024-9177

Plugin Themedy Toolbox para o WordPress até a versão 1.0.14

Plugin Themedy Toolbox para o WordPress versão 1.0.15 para o shortcode themedy button

A vulnerabilidade está relacionada a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário nos códigos de atalho do plugin, incluindo themedy col, themedy social link, themedy alertbox e themedy pullleft. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada.

Para versões até 1.0.14, considere desativar os códigos de atalho themedy col, themedy social link, themedy alertbox e themedy pullleft até que uma correção esteja disponível.

Para a versão 1.0.15, restrinja o uso do código de atalho themedy button para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.