Atualização de segurança do WordPress 6.0.3 - 16 vulnerabilidades que devem ser corrigidas

A atualização de segurança do WordPress 6.0.3 contém correções para muitas vulnerabilidades, a maioria das quais é de baixa gravidade ou requer uma conta de usuário altamente privilegiada ou código vulnerável adicional para ser explorada.

Queremos compartilhar essas vulnerabilidades para que você as conheça e tome medidas para evitar um site potencialmente invadido.

1. Authenticated (Contributor+) Stored Cross-Site Scripting via RSS Widget/Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher:  N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543

Um invasor em nível de colaborador poderia criar uma página em um site controlado por ele que retornasse um código de erro e um script mal-intencionado no Content-Type cabeçalho de resposta. 

2. Authenticated Stored Cross-Site Scripting via Search Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: Alex Concha
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543

É possível que os usuários que podem editar publicações injetem JavaScript mal-intencionado por meio dos atributos Cor do texto e Cor do plano de fundo do bloco de pesquisa. 

Description: Authenticated Stored Cross-Site Scripting via Featured Image Block
Affected Versions: WordPress Core < 6.0.3 & Gutenberg < 14.3.1
Researcher: N/A
CVE ID: Pending
CVSS Score: 6.4(Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.0.3
Changeset: https://core.trac.wordpress.org/changeset/54543