CVE-2020-35650

Uncanny Groups para LearnDash em versões anteriores à 3.7

Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos autenticados injetem código JavaScript ou HTML arbitrário por meio de diversos parâmetros. Os parâmetros afetados incluem ulgm code redeem em user-code-redemption.php, ulgm user first, ulgm user last, ulgm user email, ulgm code registration e ulgm terms conditions em user-registration-form.php, ulgm total seats em frontend-uo groups buy courses.php, uncanny group signup user first, uncanny group signup user last, uncanny group signup user login e uncanny group signup user email em group-registration-form.php, bem como os parâmetros GET success-invited, bulk-errors e message em frontend-uo groups.php.

Para resolver o problema, atualize para a versão 3.7 ou posterior. Como solução temporária, considere restringir o acesso aos parâmetros e arquivos afetados até que a atualização seja aplicada. Especificamente, restrinja o uso de ulgm code redeem, ulgm user first, ulgm user last, ulgm user email, ulgm code registration, ulgm terms conditions, ulgm total seats, uncanny group signup user first, uncanny group signup user last, uncanny group signup user login e uncanny group signup user email, bem como os parâmetros GET success-invited, bulk-errors e message no arquivo frontend-uo groups.php.