CVE-2024-10560

Nome do Software Vulnerável e Versões Afetadas Versões do plugin WordPress The Form Maker by 10Web anteriores à 1.15.30

Descrição A vulnerabilidade permite que usuários com altos privilégios, como administradores, realizem ataques de Cross-Site Scripting Armazenado (Stored XSS). Isso é possível porque algumas configurações não são devidamente sanitizadas e escapadas, o que pode ocorrer mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite.

Recomendações Para versões anteriores à 1.15.30, atualize para a versão 1.15.30 ou superior para resolver o problema. Como medida paliativa temporária, considere restringir a capacidade de usuários com altos privilégios de acessar e modificar as configurações do plugin até que a atualização seja aplicada.