CVE-2024-12024

EventPrime – plugin de calendário de eventos, reservas e ingressos para o WordPress, versões até a 4.0.5.3, inclusive

O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio dos parâmetros em ticket category data e em ticket individual data, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário administrativo acessar uma página infectada. A vulnerabilidade requer que a configuração “Guest Submissions” esteja ativada, a qual vem desativada por padrão.

Para versões até e incluindo a 4.0.5.3, atualize para uma versão posterior à 4.0.5.3 para resolver o problema. Como solução temporária, considere desativar a configuração “Guest Submissions” para minimizar o risco de exploração. Restrinja o acesso aos parâmetros em ticket category data e em ticket individual data para impedir a injeção de scripts web arbitrários.