CVE-2021-24680

Versões do WP Travel Engine anteriores à 5.3.1

A vulnerabilidade permite que usuários com uma função tão baixa quanto a de editor realizem ataques de Stored Cross-Site Scripting (XSS), devido ao fato de o campo “Descrição” nas páginas “Destino da viagem”, “Atividades”, “Tipo de viagem” e “Categoria de preços” não ser escapado, mesmo quando a permissão unfiltered html está desativada.

Para versões anteriores à 5.3.1, atualize para a versão 5.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos editores de modificar o campo Descrição nas páginas afetadas até que um patch seja aplicado.