CVE-2024-12519

Nome do Software Vulnerável e Versões Afetadas Plugin TCBD Auto Refresher para WordPress, versões até a 2.0, inclusive

Descrição O problema está relacionado a um Cross-Site Scripting Armazenado no plugin TCBD Auto Refresher para WordPress. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes nos atributos fornecidos pelo usuário no shortcode 'tcbd auto refresh' do plugin. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até a 2.0, inclusive, atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes no shortcode 'tcbd auto refresh'. Como medida paliativa temporária, considere restringir o acesso ao shortcode 'tcbd auto refresh' para impedir que atacantes autenticados injetem scripts web arbitrários.