CVE-2024-13419

Nome do Software Vulnerável e Versões Afetadas Plugins e/ou temas do WordPress que utilizam o Smart Framework (versões afetadas não especificadas)

Descrição O problema está relacionado ao Cross-Site Scripting Persistente (Stored XSS) devido à falta de uma verificação de permissões nas funções saveOptions() e importThemeOptions(). Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior atualizem as configurações do plugin, incluindo JavaScript personalizado que é habilitado em todo o site.

Recomendações Para plugins e/ou temas do WordPress que utilizam o Smart Framework, considere desativar as funções saveOptions() e importThemeOptions() até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de atacantes atualizarem JavaScript personalizado. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.