CVE-2021-24306

Versões do plugin WordPress “The Ultimate Member – User Profile, User Registration, Login & Membership” anteriores à 2.1.20

O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido autenticado. Ele ocorre porque o plugin não sanitiza, valida ou codifica adequadamente a string de consulta ao gerar um link para editar o perfil do próprio usuário. Para explorar essa vulnerabilidade, um invasor precisa saber o nome de usuário alvo e, em seguida, induzir o usuário conectado a abrir um link malicioso.

Para versões anteriores à 2.1.20, atualize para a versão 2.1.20 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de edição do perfil do usuário até que a atualização seja aplicada. Evite usar links maliciosos que possam explorar a vulnerabilidade de Cross-Site Scripting no plugin afetado.