CVE-2020-9439

Versões do Uncanny Owl Tin Canny LearnDash Reporting anteriores à 3.4.4

A vulnerabilidade permite que invasores remotos autenticados injetem scripts web ou HTML arbitrários por meio de vários parâmetros, incluindo o parâmetro GET search key em TinCan Content List Table.php, o parâmetro GET message em licensing.php e vários parâmetros tc filter em reporting-admin-menu.php. Esses parâmetros incluem tc filter group, tc filter user, tc filter course, tc filter lesson, tc filter module, tc filter action, tc filter data range e tc filter data range last.

Para versões anteriores à 3.4.4, atualize para a versão 3.4.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros afetados, como search key, message e os parâmetros tc filter, até que um patch seja aplicado. Evite usar esses parâmetros nos pontos de extremidade da API afetados, especificamente em TinCan Content List Table.php e licensing.php, até que o problema seja resolvido.