CVE-2024-5889

Nome do software vulnerável e versões afetadas:

O plugin “The Events Manager – Calendar, Bookings, Tickets, and more!” para versões do WordPress até a 6.4.8, inclusive

Descrição:

O problema está relacionado a um ataque de Cross-Site Scripting refletido (XSS) por meio do parâmetro country, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações:

Para versões até a 6.4.8, inclusive, atualize para uma versão superior à 6.4.8 para resolver o problema.

Como solução temporária, considere restringir o uso do parâmetro country até que um patch esteja disponível.