CVE-2025-4392

Nome do Software Vulnerável e Versões Afetadas O plugin The Shared Files – Frontend File Upload Form & Secure File Sharing para WordPress, versões até e incluindo a 1.7.48

Descrição O problema está relacionado a Cross-Site Scripting Armazenado via upload de arquivos HTML devido à sanitização de entrada e escape de saída insuficientes dentro da função sanitize file(). Isso permite que atacantes não autenticados contornem as verificações apenas de MIME do plugin e injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar o arquivo HTML.

Recomendações Para versões até e incluindo a 1.7.48, atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes dentro da função sanitize file(). Como solução temporária, considere desativar a funcionalidade de upload de arquivos até que uma correção esteja disponível. Restrinja o acesso aos arquivos HTML enviados para minimizar o risco de exploração.