CVE-2021-24149

**Nome do software vulnerável e versões afetadas:

Versões do plugin Modern Events Calendar Lite para WordPress anteriores à 5.16.6

Descrição:

O problema diz respeito a entradas não validadas no plugin Modern Events Calendar Lite para WordPress, que não sanitizava o parâmetro POST mec[post id] na ação AJAX “mec fes form”. Isso leva a um problema de injeção de SQL autenticada quando o usuário está conectado como autor ou com privilégios superiores.

Recomendações:

Para versões anteriores à 5.16.6, atualize para a versão 5.16.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX “mec fes form” para usuários com privilégios de autor ou superiores até que a atualização seja aplicada. Evite usar o parâmetro mec[post id] no endpoint AJAX afetado até que o problema seja resolvido.