CVE-2025-0805

Nome do Software Vulnerável e Versões Afetadas Plugin Mortgage Calculator / Loan Calculator para WordPress versões até a 1.5.20 (inclusive)

Descrição A questão está relacionada ao Stored Cross-Site Scripting (XSS Armazenado) via shortcode 'mlcalc' do plugin, devido à sanitização de entrada e escape de saída insuficientes nos atributos fornecidos pelo usuário. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página comprometida.

Recomendações Para versões até a 1.5.20 (inclusive), considere desabilitar o shortcode mlcalc até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às páginas que utilizam o shortcode mlcalc para minimizar o risco de execução de scripts web arbitrários. Evite usar o shortcode mlcalc em páginas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.