CVE-2021-24406

Versões do plugin wpForo Forum para WordPress anteriores à 1.9.7

O problema está relacionado a uma falha de redirecionamento aberto após um login bem-sucedido, causada pela falta de validação do parâmetro redirect to no formulário de login do fórum. Isso poderia permitir que um invasor induzisse um usuário a usar uma URL de login que redirecionasse para um site malicioso, que poderia ser uma réplica do site legítimo, solicitando que o usuário reinserisse suas credenciais. Essas credenciais ficariam então nas mãos do invasor.

Para versões anteriores à 1.9.7, atualize para a versão 1.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao formulário de login ou validar o parâmetro redirect to manualmente até que um patch seja aplicado. Evite usar o parâmetro redirect to na URL de login até que o problema seja resolvido.