CVE-2024-13848

Nome do Software Vulnerável e Versões Afetadas Plugin Reaction Buttons para WordPress versões até, e incluindo, a 2.1.6

Descrição O problema está relacionado a Cross-Site Scripting (XSS) Armazenado via configurações de administração devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o unfiltered html foi desativado.

Recomendações Para o plugin Reaction Buttons para WordPress versões até, e incluindo, a 2.1.6, atualize para uma versão posterior à 2.1.6 para resolver o problema. Como medida temporária, considere restringir o acesso às configurações de administração para minimizar o risco de exploração. Além disso, certifique-se de que o unfiltered html esteja habilitado para reduzir o impacto da vulnerabilidade.