CVE-2021-24522

Registro de usuários, perfil de usuário, login e associação – ProfilePress (anteriormente WP User Avatar) versões anteriores à 3.1.11

O problema diz respeito à falta de escapamento adequado no widget para login/registro em abas, o que poderia ser explorado em um ataque de script entre sites (XSS). Esse ataque poderia potencialmente levar ao acesso à seção wp-admin. Além disso, o plugin atribuiu incorretamente $ POST como $ GET em vários pontos, permitindo que o problema fosse reproduzido usando apenas parâmetros $ GET, sem a necessidade de valores $ POST.

Para versões anteriores à 3.1.11, atualize para a versão 3.1.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao widget de login/registro com abas até que a atualização seja aplicada. Evite usar os parâmetros $ POST e $ GET de forma intercambiável na configuração do plugin para minimizar o risco de exploração.