CVE-2024-12467

Nome do Software Vulnerável e Versões Afetadas Plugin Pago por Redsys para WordPress versões até 1.0.12 (inclusive)

Descrição O problema está relacionado ao Cross-Site Scripting Refletido devido à sanitização de entrada e escapamento de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que são executados caso consigam enganar um usuário para realizar uma ação, como clicar em um link. O parâmetro Ds MerchantParameters é especificamente vulnerável a este problema.

Recomendações Para versões até 1.0.12 (inclusive), atualize para uma versão que corrija o problema de sanitização de entrada e escapamento de saída insuficientes para prevenir ataques de Cross-Site Scripting Refletido. Como medida de contorno temporária, considere restringir o acesso ao parâmetro Ds MerchantParameters para minimizar o risco de exploração.