CVE-2021-24955

**Nome do software vulnerável e versões afetadas:

Versões anteriores à 3.2.3 do plugin “User Registration, Login Form, User Profile & Membership” para WordPress

Descrição:

O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro data da ação AJAX pp get forms by builder type não é escapado corretamente antes de ser exibido em um atributo. Isso pode levar à execução de scripts maliciosos.

Recomendações:

Para versões anteriores à 3.2.3, atualize para a versão 3.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX pp get forms by builder type para minimizar o risco de exploração. Evite usar o parâmetro data no endpoint AJAX afetado até que o problema seja resolvido.