CVE-2025-0916

Nome do Software Vulnerável e Versões Afetadas Plugin YaySMTP and Email Logs: Amazon SES, SendGrid, Outlook, Mailgun, Brevo, Google e Any SMTP Service para WordPress versões 2.4.9 a 2.6.2

Descrição O problema está relacionado a Cross-Site Scripting (XSS) Armazenado devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. A vulnerabilidade foi inicialmente corrigida na versão 2.4.8, mas foi reintroduzida na versão 2.4.9 com a remoção da função de sanitização nativa do WordPress wp kses post().

Recomendações Para as versões 2.4.9 a 2.6.2, atualize para uma versão que inclua a função wp kses post() para garantir a sanitização de entrada e o escape de saída adequados. Como solução temporária, considere desativar o plugin vulnerável até que uma correção esteja disponível. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração. Evite usar os recursos do plugin que permitem entrada de usuário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.