CVE-2025-28253

Nome do Software Vulnerável e Versões Afetadas MainWP Dashboard versão 5.3.4

Descrição Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no MainWP Dashboard, especificamente no arquivo class/class-mainwp-post-handler.php. O problema surge devido à entrada de usuário não sanitizada proveniente de $ POST['sites'], $ POST['clients'] e $ POST['search'] sendo passada para a função MainWP User::render table. Apesar do uso de sanitize text field e wp unslash, os valores não estão adequadamente protegidos contra injeção de HTML ou script, permitindo que um invasor injete scripts maliciosos.

Recomendações Para o MainWP Dashboard versão 5.3.4, considere desabilitar a função MainWP User::render table ou restringir o uso do arquivo class/class-mainwp-post-handler.php até que um patch esteja disponível. Além disso, evite usar os parâmetros $ POST['sites'], $ POST['clients'] e $ POST['search'] no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.