CVE-2024-11371

O plugin Theater para WordPress nas versões até a 0.18.6.2, inclusive

O problema decorre do uso de add query arg sem o escape adequado na URL, levando a um ataque de Cross-Site Scripting refletido. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que são executados quando um usuário realiza uma ação específica, como clicar em um link.

Para versões até e incluindo a 0.18.6.2, atualize para uma versão posterior à 0.18.6.2 para resolver o problema. Como solução temporária, considere restringir o acesso a páginas ou links potencialmente vulneráveis para minimizar o risco de exploração.