CVE-2025-0924

Nome do Software Vulnerável e Versões Afetadas Plugin WP Activity Log para WordPress, versões até e incluindo a 5.2.2

Descrição A questão está relacionada a Cross-Site Scripting Armazenado via o parâmetro message, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar a página afetada.

Recomendações Para o plugin WP Activity Log para WordPress, versões até e incluindo a 5.2.2, atualize para uma versão superior à 5.2.2 para resolver a questão. Como solução temporária, considere restringir o acesso ao parâmetro message para minimizar o risco de exploração.