CVE-2025-4594

Nome do Software Vulnerável e Versões Afetadas Plugin Tournamatch para WordPress versões até e incluindo a 4.6.1

Descrição O problema está relacionado a Cross-Site Scripting Armazenado via o shortcode 'trn-ladder-registration-button'. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes nos atributos fornecidos pelo usuário. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários em páginas, que serão executados quando um usuário acessar uma página onde o script foi injetado.

Recomendações Para versões até e incluindo a 4.6.1, atualize para uma versão superior à 4.6.1 para resolver o problema. Como solução temporária, considere desativar o shortcode 'trn-ladder-registration-button' até que um patch esteja disponível. Restrinja o acesso ao plugin Tournamatch para minimizar o risco de exploração, especialmente para usuários com acesso de nível de contribuidor ou superior.