CVE-2025-4224

Nome do Software Vulnerável e Versões Afetadas wpForo + wpForo Advanced Attachments versões até a 3.1.3 inclusive

Descrição A questão está relacionada ao Cross-Site Scripting (XSS) Armazenado via nomes de upload de mídia, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível Personalizado ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página onde o script foi injetado.

Recomendações Para versões até a 3.1.3 inclusive, atualize para uma versão superior à 3.1.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de upload de mídia para minimizar o risco de exploração. Além disso, restrinja o uso de acesso de nível Personalizado ou superior para reduzir o potencial de injeção de scripts web arbitrários.