CVE-2024-12308

Nome do Software Vulnerável e Versões Afetadas Versões do plugin Logo Slider para WordPress anteriores à 4.6.0

Descrição A questão refere-se ao plugin Logo Slider para WordPress, que não valida e faz o escape de alguns de seus atributos de shortcode antes de exibi-los em uma página/post onde o shortcode está inserido. Isso poderia permitir que usuários com a função de Contribuidor ou superior realizem ataques de Cross-Site Scripting Armazenado (Stored XSS).

Recomendações Para versões anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos atributos de shortcode vulneráveis até que um patch esteja disponível. Evite usar atributos de shortcode não validados e não escapados em páginas/posts onde o shortcode está inserido para minimizar o risco de exploração.