CVE-2022-50949

Nome do Software Vulnerável e Versões Afetadas Videos sync PDF versão 1.7.4

Descrição Um invasor autenticado pode injetar scripts maliciosos através do painel de opções do plugin. Isso ocorre devido à falta de sanitização nos parâmetros nom, pdf, mp4, webm e ogg. Ao utilizar payloads como manipuladores de eventos autofocus onfocus, um invasor pode executar JavaScript arbitrário quando administradores visualizam ou editam as configurações de vídeo. Trata-se de um problema de cross-site scripting armazenado, onde o script malicioso é guardado permanentemente no servidor e executado no navegador da vítima.

Recomendações Como medida paliativa temporária, restrinja o acesso ao painel de opções do plugin ou evite modificar os parâmetros nom, pdf, mp4, webm e ogg até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.