CVE-2021-24657

Versões do plugin Limit Login Attempts para WordPress anteriores à 4.0.50

O problema decorre do fato de o plugin não escapar os endereços IP das tentativas de login antes de exibi-los na tabela de relatórios. Isso pode ser explorado por um invasor que controle o endereço IP por meio de cabeçalhos como X-Forwarded-For, levando a uma vulnerabilidade de Cross-Site Scripting armazenado não autenticado.

Para versões anteriores à 4.0.50, atualize para a versão 4.0.50 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à tabela de relatórios para minimizar o risco de exploração. Evite usar o cabeçalho X-Forwarded-For no plugin afetado até que o problema seja resolvido.