CVE-2024-9344

O plugin BerqWP – Plugin automatizado “tudo em um” para otimização do PageSpeed, voltado para Core Web Vitals, cache, CDN, imagens, CSS e JavaScript, para versões do WordPress até a 2.1.1, inclusive

A vulnerabilidade está relacionada a Cross-Site Scripting refletido (XSS) por meio do parâmetro url, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 2.1.1, considere desativar o parâmetro url até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro url em páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.