O plugin Wonder Video Embed para WordPress, na versão 2.2 ou inferior, apresenta uma vulnerabilidade crítica de Stored Cross-Site Scripting (XSS). Autenticados com permissão de contribuidor ou superior, atacantes podem injetar scripts maliciosos via shortcode wonderplugin_video, devido à falta de sanitização adequada. Isso permite a execução de códigos maliciosos sempre que uma página comprometida é acessada.
Recomendação: Atualize imediatamente o plugin para a versão mais recente ou desative-o até que uma correção seja disponibilizada.
Detalhes Técnicos:
- CVE: CVE-2024-13743
- Gravidade CVSS: 6.4 (Média)
- Publicado: 18/02/2025
- Pesquisador: Krzysztof Zając (CERT PL)
