CVE-2024-11405

Nome do Software Vulnerável e Versões Afetadas: Plugin WP Front-end login and register para WordPress versões até a 2.1.0 inclusive

Descrição: O problema surge devido à sanitização de entrada e escape de saída insuficientes, permitindo que atacantes não autenticados injetem scripts web arbitrários nas páginas através dos parâmetros email e wpmp reset password token. Isso permite que os atacantes executem scripts se conseguirem induzir um usuário a realizar uma ação, como clicar em um link.

Recomendações: Para versões até a 2.1.0 inclusive, considere desativar os parâmetros email e wpmp reset password token até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso ao plugin afetado para minimizar o risco de injeção de scripts web arbitrários. Evite usar os parâmetros email e wpmp reset password token no plugin afetado até que o problema seja resolvido.