CVE-2021-24925

**Nome do software vulnerável e versões afetadas:

As versões do plugin Modern Events Calendar Lite para WordPress anteriores à 6.1.5

Descrição:

O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro current month divider da chamada AJAX “mec list load more” não é devidamente sanitizado e escapado antes de ser exibido na resposta. Essa chamada AJAX é acessível tanto a usuários não autenticados quanto a usuários autenticados.

Recomendações:

Para versões anteriores à 6.1.5, atualize para a versão 6.1.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à chamada AJAX “mec list load more” até que um patch seja aplicado. Evite usar o parâmetro current month divider no endpoint AJAX afetado até que o problema seja resolvido.