CVE-2025-2613

Nome do Software Vulnerável e Versões Afetadas O plugin The Login Manager – Design Login Page, View Login Activity, Limit Login Attempts para WordPress, versões até e incluindo a 2.0.5

Descrição A vulnerabilidade está relacionada ao Cross-Site Scripting (XSS) Armazenado via URLs de logotipo personalizado e de background, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página onde o script foi injetado. O problema afeta apenas instalações multisite e instalações onde a constante unfiltered html foi desabilitada.

Recomendações Para versões até e incluindo a 2.0.5, atualize para uma versão posterior à 2.0.5 para resolver o problema. Como medida temporária, considere restringir o acesso aos recursos de URLs de logotipo personalizado e de background até que uma correção esteja disponível. Restrinja as permissões de nível de administrador para minimizar o risco de exploração.