Pagelayer <= 2.0.7 - Neutralização Inadequada de Sequências CRLF para Injeção de Cabeçalho de Email Não Autenticada via 'email'

O plugin Page Builder: Pagelayer – Drag and Drop website builder para WordPress é vulnerável à Neutralização Inadequada de Sequências CRLF ('CRLF Injection') em todas as versões até, e incluindo, a 2.0.7. Isso ocorre porque o manipulador de formulário de contato realiza a substituição de espaço reservado em campos de formulário controlados pelo atacante e, em seguida, passa os valores resultantes para os cabeçalhos de e-mail sem remover os caracteres CR/LF. Isso torna possível que invasores não autenticados injetem cabeçalhos de e-mail arbitrários (por exemplo, Bcc / Cc) e abusem da entrega de e-mail do formulário por meio do parâmetro 'email', desde que possam segmentar um formulário de contato configurado para usar espaços reservados nos cabeçalhos do modelo de e-mail.