CVE-2025-0862

Nome do Software Vulnerável e Versões Afetadas: O SuperSaaS – plugin de agendamento de compromissos online para WordPress, versões até, e incluindo, a 2.1.12

Descrição: A vulnerabilidade está relacionada ao Cross-Site Scripting (XSS) Armazenado via o parâmetro after devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. A vulnerabilidade é limitada a navegadores baseados em Chromium.

Recomendações: Para versões até, e incluindo, a 2.1.12, considere desativar o parâmetro after até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a páginas que possam ter sido injetadas com scripts maliciosos para minimizar o risco de execução.