CVE-2021-24714

Versões anteriores à 3.6.3 do plugin “Import any XML or CSV File to WordPress”

A vulnerabilidade permite que usuários com privilégios elevados realizem ataques Cross-Site mesmo quando a capacidade unfiltered html está desativada, pois o plugin não escapa os campos “Título” e “Identificador Único” da importação antes de exibi-los nas páginas de administração.

Para versões anteriores à 3.6.3, atualize para a versão 3.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas de administração onde os campos Título e Identificador Único da importação são exibidos, para minimizar o risco de exploração.