CVE-2024-13667

Nome do Software Vulnerável e Versões Afetadas Tema Uncode para WordPress versões até a 2.9.1.6 inclusive.

Descrição O problema está relacionado ao Cross-Site Scripting Armazenado, que ocorre devido à sanitização de entrada e ao escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários em páginas através do parâmetro mle-description. Esses scripts serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até a 2.9.1.6 inclusive, considere desabilitar o parâmetro mle-description para prevenir a exploração até que uma correção esteja disponível. Restrinja o acesso a páginas que utilizam este parâmetro para minimizar o risco de injeção de script. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída para resolver completamente o problema.