CVE-2024-12203

Nome do Software Vulnerável e Versões Afetadas Plugin RSS Icon Widget para WordPress, versões até a 5.2, inclusive

Descrição O problema está relacionado a Cross-Site Scripting Armazenado via o parâmetro link color devido à sanitização de entrada e escapamento de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para versões até a 5.2, inclusive, considere desativar o parâmetro link color até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída quando disponível.