CVE-2020-26153

Versões do plugin Event Espresso Core anteriores à 4.10.7.p

Existe uma vulnerabilidade de cross-site scripting (XSS) devido à proteção insuficiente da estrutura da página web. Isso permite que invasores remotos injetem scripts web ou HTML arbitrários por meio do parâmetro page. A vulnerabilidade pode ser explorada por um invasor remoto usando uma solicitação GET especialmente criada.

Para versões anteriores à 4.10.7.p, atualize para a versão 4.10.7.p ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao modelo ee msg admin overview.template.php para minimizar o risco de exploração. Evite usar o parâmetro page nos pontos de extremidade da API afetados até que o problema seja resolvido.