CVE-2021-24859

**Nome do software vulnerável e versões afetadas:

Plugin User Meta Shortcodes do WordPress, versões 0.5 e anteriores

Descrição:

A vulnerabilidade permite que qualquer usuário, mesmo com uma função tão básica quanto a de colaborador, acesse os metadados de outros usuários ao especificar o login do usuário como parâmetro, tornando a instância do WordPress vulnerável à extração de dados, incluindo hashes de senhas.

Recomendações:

Para as versões 0.5 e anteriores, considere desativar o shortcode que permite o acesso aos metadados do usuário até que uma correção esteja disponível.

Restrinja o acesso ao parâmetro user login no shortcode afetado para minimizar o risco de exploração.

Como solução alternativa temporária, limite a função dos usuários que podem acessar o shortcode a funções superiores à de colaborador.