CVE-2020-9372

Versões do plugin Appointment Booking Calendar anteriores à 1.3.35

A vulnerabilidade permite que a entrada do usuário em campos como Description ou Name em qualquer formulário de agendamento seja qualquer fórmula. Essa entrada poderia então ser exportada através da guia Lista de agendamentos em “/wp-admin/admin.php?page=cpabc appointments.php”, levando potencialmente à execução remota de código via injeção de CSV.

Para versões anteriores à 1.3.35, atualize para a versão 1.3.35 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada do usuário nos formulários de agendamento para impedir o uso de fórmulas maliciosas até que um patch seja aplicado. Evite usar o endpoint “/wp-admin/admin.php?page=cpabc appointments.php” para exportar agendamentos de fontes não confiáveis até que o problema seja resolvido.