CVE-2021-24450

Versões anteriores à 3.1.8 do plugin do WordPress “User Registration, User Profiles, Login & Membership – ProfilePress” (anteriormente WP User Avatar)

A vulnerabilidade permite que usuários com privilégios elevados, como administradores, definam cargas de JavaScript em algumas configurações, mesmo quando a capacidade unfiltered html está desativada, levando a um problema de Stored Cross-Site Scripting (XSS) autenticado. Isso ocorre porque o plugin não sanitiza ou escapa adequadamente algumas de suas configurações antes de salvá-las e exibi-las na página.

Para versões anteriores à 3.1.8, atualize para a versão 3.1.8 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar configurações que possam ser usadas para injetar cargas de JavaScript.