Riki Aji

**Nome do software vulnerável e versões afetadas** Versões do plugin WordPress “The Ultimate Member – User Profile, User Registration, Login & Membership” anteriores à 2.1.20 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido autenticado. Ele ocorre porque o plugin não sanitiza, valida ou codifica adequadamente a string de consulta ao gerar um link para editar o perfil do próprio usuário. Para explorar essa vulnerabilidade, um invasor precisa saber o nome de usuário alvo e, em seguida, induzir o usuário conectado a abrir um link malicioso. **Recomendações** Para versões anteriores à 2.1.20, atualize para a versão 2.1.20 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de edição do perfil do usuário até que a atualização seja aplicada. Evite usar links maliciosos que possam explorar a vulnerabilidade de Cross-Site Scripting no plugin afetado.