CVE-2025-2166

Nome do Software Vulnerável e Versões Afetadas: The CM FAQ – Simplifique o suporte com um plugin intuitivo de gerenciamento de FAQ para WordPress, versões até a 1.2.5 (inclusive)

Descrição: O problema está relacionado ao Cross-Site Scripting Refletido devido ao uso de remove query arg sem o escape adequado na URL. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam enganar um usuário para realizar uma ação, como clicar em um link.

Recomendações: Para versões até a 1.2.5 (inclusive), atualize para uma versão que realize o escape adequado da URL para prevenir ataques de Cross-Site Scripting Refletido. Como solução alternativa temporária, considere restringir o acesso ao plugin de gerenciamento de FAQ para minimizar o risco de exploração.