CVE-2024-9019

Nome do Software Vulnerável e Versões Afetadas SecuPress Free — Versões do plugin de Segurança para WordPress até, e incluindo, a 2.2.5.3

Descrição O problema está relacionado a Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes nos atributos fornecidos pelo usuário no shortcode secupress check ban ips form. Isso permite que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para versões até, e incluindo, a 2.2.5.3, considere desativar o shortcode secupress check ban ips form até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso às páginas que utilizam este shortcode para minimizar o risco de execução de scripts web arbitrários.