CVE-2024-13517

Nome do Software Vulnerável e Versões Afetadas Plugin Easy Digital Downloads – Pagamentos de eCommerce e Assinaturas simplificados para WordPress, versões até e incluindo a 3.3.2

Descrição O problema está relacionado ao Cross-Site Scripting (XSS) Armazenado através do valor Title, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com privilégios de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para versões até e incluindo a 3.3.2, atualize para uma versão superior à 3.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao campo de entrada do valor Title para minimizar o risco de exploração. Restrinja o acesso a páginas que possam conter scripts injetados para prevenir a execução.