CVE-2024-13505

Nome do Software Vulnerável e Versões Afetadas Plugin Survey Maker para WordPress versões até, e incluindo, 5.1.3.3

Descrição A questão está relacionada ao Cross-Site Scripting Armazenado via o parâmetro ays sections[5][questions][8][title] devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. A questão afeta apenas instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para versões até, e incluindo, 5.1.3.3, atualize para uma versão posterior à 5.1.3.3 para resolver a questão. Como solução temporária, considere restringir o acesso ao parâmetro ays sections[5][questions][8][title] para minimizar o risco de exploração. Além disso, garanta que o unfiltered html esteja ativado e restrinja o acesso de nível de administrador apenas a usuários confiáveis.