CVE-2025-2874

Nome do Software Vulnerável e Versões Afetadas Plugin User Submitted Posts – Enable Users to Submit Posts from the Front End para WordPress, versões até e incluindo a 20240319

Descrição A questão está relacionada ao Cross-Site Scripting (XSS) Armazenado via configurações de administração, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com permissões de nível de administrador ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para versões até e incluindo a 20240319, atualize para uma versão superior a 20240319 para resolver a questão. Como solução alternativa temporária, considere restringir o acesso às configurações de administração para minimizar o risco de exploração. Restrinja o uso da capacidade unfiltered html a usuários confiáveis para reduzir a superfície de ataque.