CVE-2021-24429

Versões anteriores à 6.3.1 do plugin do WordPress para o sistema de agendamento de salões de beleza

O problema decorre da sanitização e do escape inadequados do campo First Name ao agendar um horário, permitindo que usuários com privilégios limitados insiram JavaScript, o que leva a uma vulnerabilidade de Stored Cross-Site Scripting (XSS). O script malicioso é executado no contexto de administrador quando um administrador acessa a página “Calendário”.

Para versões anteriores à 6.3.1, atualize para a versão 6.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página “Calendário” para administradores até que a atualização seja aplicada. Além disso, limitar a capacidade de usuários com privilégios reduzidos, como assinantes, de agendar consultas ou definir campos First Name personalizados pode ajudar a mitigar o risco.