CVE-2024-12207

Nome do Software Vulnerável e Versões Afetadas Plugin Toggles Shortcode and Widget para WordPress, versões até e incluindo a 1.14

Descrição O problema está relacionado a cross-site scripting (XSS) armazenado devido à sanitização de entrada e escape de saída insuficientes através do parâmetro content. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para versões até e incluindo a 1.14, atualize para uma versão posterior à 1.14 para resolver o problema. Como medida temporária, considere restringir o acesso ao parâmetro content no plugin afetado até que uma correção esteja disponível. Restrinja o acesso à funcionalidade do plugin em instalações multisite e instalações onde o unfiltered html foi desativado para minimizar o risco de exploração.