CVE-2021-24147

**Nome do software vulnerável e versões afetadas:

Versões do plugin Modern Events Calendar Lite para WordPress anteriores à 5.16.5

Descrição:

O problema está relacionado a entradas não validadas e à falta de codificação de saída no plugin. Especificamente, o campo mic comment, também conhecido como “Notas sobre o horário”, não é devidamente sanitizado ao adicionar ou editar um evento. Isso permite que usuários com privilégios tão baixos quanto os de autor adicionem eventos contendo uma carga de Cross-Site Scripting, que é acionada ao visualizar o evento no front-end.

Recomendações:

Para versões anteriores à 5.16.5, atualize para a versão 5.16.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de edição de eventos a usuários com privilégios mais elevados até que a atualização seja aplicada. Além disso, evite usar o campo mic comment em eventos até que o problema seja resolvido.