CVE-2025-2635

Nome do Software Vulnerável e Versões Afetadas Plugin Digital License Manager para WordPress versões até e incluindo a 1.7.3

Descrição A questão está relacionada a um Cross-Site Scripting Refletido devido ao uso da função remove query arg() sem o devido escape na URL. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações Para o plugin Digital License Manager para WordPress versões até e incluindo a 1.7.3, atualize para uma versão superior à 1.7.3 para resolver a questão. Como solução alternativa temporária, considere restringir o acesso a páginas potencialmente vulneráveis para minimizar o risco de exploração.