CVE-2024-13858

Nome do Software Vulnerável e Versões Afetadas Plugin Buddyboss Platform para WordPress, versões até e incluindo a 2.8.50

Descrição O problema está relacionado ao Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes, permitindo que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários nas páginas. Isso pode ser feito por meio do parâmetro invitee name. A vulnerabilidade foi parcialmente corrigida na versão 2.8.41.

Recomendações Para versões até e incluindo a 2.8.50, atualize para uma versão que resolva completamente o problema, pois a versão 2.8.41 apenas corrige parcialmente a vulnerabilidade. Como medida temporária de contorno, considere restringir o acesso ao parâmetro invitee name para minimizar o risco de exploração.