CVE-2025-13217

Nome do Software Vulnerável e Versões Afetadas The Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin for WordPress em versões anteriores à 2.11.1

Descrição O software é suscetível a uma vulnerabilidade de Cross-Site Scripting Armazenado. A sanitização insuficiente de entrada e o escape de saída insuficiente em URLs de vídeos do YouTube fornecidas pelo usuário permitem que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários. Esses scripts são executados quando um usuário acessa a página de perfil do usuário que injetou o script. O problema está relacionado ao campo 'value' do Vídeo do YouTube e à função um profile field filter hook youtube video().

Recomendações Atualize o The Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin for WordPress para a versão 2.11.1 ou posterior.