CVE-2024-9590

Plugin “Category and Taxonomy Meta Fields” para WordPress, versão 1.0.0

A vulnerabilidade está relacionada a um ataque de Stored Cross-Site Scripting (XSS) por meio do valor do campo meta de imagem na função wpaft add meta textinput, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com permissões de nível de editor ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado.

Para o plugin Meta Fields de Categoria e Taxonomia para WordPress versão 1.0.0, considere desativar a função wpaft add meta textinput até que um patch esteja disponível para impedir a exploração. Além disso, restrinja o acesso ao campo meta de imagem para minimizar o risco de injeção de scripts web arbitrários. Garanta a sanitização adequada de entradas e o escapamento de saídas em atributos fornecidos pelo usuário para mitigar o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.