CVE-2024-13805

Nome do Software Vulnerável e Versões Afetadas The Advanced File Manager — Ultimate WordPress File Manager and Document Library Plugin, versões até e incluindo a 5.2.14

Descrição O problema está relacionado a Cross-Site Scripting Armazenado via upload de arquivos SVG devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior, e com permissões concedidas por um Administrador, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar o arquivo SVG.

Recomendações Para versões até e incluindo a 5.2.14, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída para prevenir ataques de Cross-Site Scripting Armazenado. Como medida de contorno temporária, considere restringir o upload de arquivos SVG apenas a usuários confiáveis e garanta que todos os usuários com permissões de upload sejam minuciosamente verificados por um Administrador.