CVE-2024-9589

Plugin “Category and Taxonomy Meta Fields” para WordPress, versão 1.0.0

A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O parâmetro new meta name na função wpaft option page é especificamente vulnerável. Este problema afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado.

Para a versão 1.0.0, considere desativar a função wpaft option page ou restringir o acesso a ela até que um patch esteja disponível. Além disso, restrinja o uso do parâmetro new meta name para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.