CVE-2024-13739

Nome do Software Vulnerável e Versões Afetadas Plugin Newsletters para WordPress versões até a 4.9.9.7, inclusive.

Descrição O problema está relacionado ao Cross-Site Scripting Refletido via parâmetro to devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam enganar com sucesso um usuário administrador para realizar uma ação, como clicar em um link.

Recomendações Para versões até a 4.9.9.7, inclusive, evite usar o parâmetro to nos endpoints da API afetados até que o problema seja resolvido. Como solução temporária, considere restringir o acesso ao plugin Newsletters para minimizar o risco de exploração. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída para prevenir ataques de Cross-Site Scripting Refletido.