CVE-2021-34655

**Nome do software vulnerável e versões afetadas:

Versões do plugin WP Songbook para WordPress até a 2.0.11, inclusive

Versões do plugin Custom Post Type Relations para WordPress até a 1.0, inclusive

Descrição:

A vulnerabilidade permite que invasores injetem scripts web arbitrários por meio de Reflected Cross-Site Scripting. No plugin WP Songbook para WordPress, isso é possível através do parâmetro url no arquivo ~/inc/class.ajax.php. Para o plugin Custom Post Type Relations para WordPress, a vulnerabilidade é explorada através do parâmetro cptr[name] no arquivo ~/pages/admin-page.php.

Recomendações:

Para versões do plugin WP Songbook para WordPress até e incluindo a 2.0.11, atualize para uma versão posterior à 2.0.11 para resolver o problema.

Para versões do plugin Custom Post Type Relations para WordPress até e incluindo a 1.0, atualize para uma versão posterior à 1.0 para resolver o problema.

Como solução temporária, considere restringir o acesso ao arquivo ~/inc/class.ajax.php no plugin WP Songbook para WordPress e ao arquivo ~/pages/admin-page.php no plugin Custom Post Type Relations para WordPress, a fim de minimizar o risco de exploração.

Evite usar o parâmetro url no plugin WP Songbook para WordPress afetado e o parâmetro cptr[name] no plugin Custom Post Type Relations para WordPress até que o problema seja resolvido.