CVE-2024-13506

Nome do Software Vulnerável e Versões Afetadas: O plugin GeoDirectory – WP Business Directory Plugin e Classified Listings Directory para WordPress, versões até a 2.8.97 inclusive.

Descrição: O problema está relacionado ao Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes, especificamente via o parâmetro de perfil display name. Isso permite que atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações: Para versões até a 2.8.97 inclusive, considere desativar o parâmetro de perfil display name até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso às páginas que utilizam este parâmetro para minimizar o risco de injeção de scripts web arbitrários.