CVE-2024-9866

Event Tickets com o plugin Ticket Scanner para versões do WordPress anteriores à 2.4.4

O problema está relacionado a um ataque de Cross-Site Scripting armazenado (XSS) por meio dos parâmetros data, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, bem como à ausência de autorização na funcionalidade de gerenciamento de ingressos. Isso permite que invasores autenticados com acesso de nível de assinante ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Para versões anteriores à 2.4.1, considere desativar a funcionalidade de gerenciamento de ingressos para minimizar o risco de exploração.

Para as versões 2.4.1 a 2.4.3, restrinja o acesso aos parâmetros data na funcionalidade afetada para minimizar o risco de exploração de Cross-Site Scripting.

Para versões anteriores à 2.4.4, atualize para a versão 2.4.4 para corrigir totalmente a vulnerabilidade de Stored Cross-Site Scripting.