CVE-2024-12112

Nome do Software Vulnerável e Versões Afetadas Easy Form Builder – versões do plugin construtor de formulários para WordPress até a 3.8.8 (inclusive)

Descrição O problema está relacionado a Cross-Site Scripting (XSS) Armazenado via o parâmetro name da ação AJAX add form Emsfb. Isso se deve à sanitização de entrada e escape de saída insuficientes, bem como à falta de verificações de autorização. Atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior podem injetar scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até a 3.8.8 (inclusive), atualize para uma versão superior à 3.8.8 para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX add form Emsfb para minimizar o risco de exploração. Evite usar o parâmetro name no endpoint AJAX afetado até que o problema seja resolvido.