Priyanka Pande

**Nome do software vulnerável e versões afetadas** Versões anteriores à 9.6.3 do plugin WordPress do sistema de agendamento de salões de beleza **Descrição** O problema decorre da sanitização e do escape inadequados do campo `Mobile Phone` ao agendar um horário, permitindo que os clientes realizem ataques de Stored Cross-Site Scripting. A carga maliciosa é acionada quando um administrador acessa a página “Clientes”, e o script malicioso é executado no contexto de administrador. **Recomendações** Para versões anteriores à 9.6.3, atualize para a versão 9.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página “Clientes” para administradores até que a atualização seja aplicada. Além disso, evite usar o campo `Mobile Phone` no sistema de agendamento até que o problema seja resolvido.