CVE-2025-2541

Nome do Software Vulnerável e Versões Afetadas: Plugin WP Project Manager para WordPress versões até e incluindo a 2.6.22

Descrição: O problema está relacionado a Cross-Site Scripting (XSS) Armazenado via uploads de arquivos SVG, causado por sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Autor ou superior injetem scripts web arbitrários em páginas que serão executados quando um usuário acessar o arquivo SVG.

Recomendações: Para o plugin WP Project Manager para WordPress versões até e incluindo a 2.6.22, atualize para uma versão superior à 2.6.22 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso a uploads de arquivos SVG para usuários com acesso de nível de Autor e acima até que uma correção esteja disponível. Evite usar o plugin WP Project Manager para WordPress com versões até e incluindo a 2.6.22 para fazer upload de arquivos SVG até que o problema seja resolvido.