CVE-2022-0834

Versões do plugin Amelia para WordPress até a 1.0.46, inclusive

O problema decorre da falta de escapamento e sanitização do parâmetro lastName no arquivo ~/src/Application/Controller/User/Customer/AddCustomerController.php. Isso permite que invasores injetem scripts web arbitrários em uma página, que são executados sempre que um usuário acessa o calendário de reservas com a data na qual o invasor injetou a carga maliciosa.

Para versões até e incluindo a 1.0.46, atualize para uma versão que inclua o escapamento e a sanitização adequados do parâmetro lastName para evitar ataques de Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao arquivo AddCustomerController.php ou desativar o parâmetro lastName até que um patch esteja disponível.