CVE-2024-9582

Plugin Accordion Slider para o WordPress, versões até e incluindo a 1.9.11

O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas no atributo html de um accordion slider. Isso permite que invasores autenticados com acesso de nível Contribuidor ou superior injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar a página injetada. A exploração bem-sucedida por usuários de nível Contribuidor requer que um usuário de nível Administrador forneça acesso à área de administração do plugin por meio da configuração Acesso do plugin.

Para versões até a 1.9.11, inclusive, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting.

Como solução temporária, considere restringir o acesso à área de administração do plugin e limitar a capacidade dos usuários com nível de Colaborador de injetar scripts web arbitrários.