CVE-2024-1484

O plugin “Booking for Appointments and Events Calendar – Amelia” para o WordPress, nas versões até a 1.0.98, inclusive

O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, especificamente por meio dos parâmetros date. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 1.0.98, atualize para uma versão superior à 1.0.98 para resolver o problema.

Como solução temporária, considere restringir o acesso aos parâmetros de data para minimizar o risco de exploração.