CVE-2024-11895

Nome do Software Vulnerável e Versões Afetadas Plugin Online Payments – Get Paid with PayPal, Square & Stripe para WordPress, versões anteriores à 3.20.0

Descrição A falha está relacionada ao Cross-Site Scripting Armazenado (Stored XSS) via shortcodes do plugin, devido à sanitização de entrada e escape de saída insuficientes nos atributos fornecidos pelo usuário. Isso permite que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página onde o script foi injetado.

Recomendações Para versões anteriores à 3.20.0, atualize para uma versão superior à 3.20.0 para corrigir a falha. Como medida temporária, considere restringir o acesso aos shortcodes do plugin para minimizar o risco de exploração. Evite usar atributos fornecidos pelo usuário nos shortcodes até que a falha seja corrigida.