CVE-2025-1513

Nome do Software Vulnerável e Versões Afetadas Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons plugin para WordPress versões até e incluindo a 26.0.0.1

Descrição O problema está relacionado ao Cross-Site Scripting Armazenado via os campos Name e Comment ao comentar em entradas da galeria de fotos, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até e incluindo a 26.0.0.1, atualize para uma versão posterior à 26.0.0.1 para resolver o problema. Como medida de contorno temporária, considere desativar a funcionalidade de comentários nas entradas da galeria de fotos até que uma correção esteja disponível. Restrinja o acesso aos campos Name e Comment para minimizar o risco de exploração. Evite usar esses campos no plugin afetado até que o problema seja resolvido.