Abdi Pranata

Name of the Vulnerable Software and Affected Versions: WP SmartPay versions n/a through 2.7.13 Description: An improper validation of the specified quantity in input exists in ThemesGrove WP SmartPay. Recommendations: Update WP SmartPay to a version later than 2.7.13.

**Name of the Vulnerable Software and Affected Versions** Spotlight - Social Media Feeds (Premium) versions 1.7.1 and earlier **Description** The issue allows the retrieval of embedded sensitive data due to the insertion of sensitive information into sent data. This affects the Spotlight - Social Media Feeds (Premium) plugin, enabling the potential exposure of sensitive information. **Recommendations** For versions 1.7.1 and earlier, consider disabling the plugin until a patch is available to prevent the retrieval of embedded sensitive data. Restrict access to sensitive data to minimize the risk of exploitation. Avoid using the plugin until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** WP AutoKeyword versões n/a até 1.0 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente resultando em acesso não autorizado ou controle. **Recomendações** Para o WP AutoKeyword versões n/a até 1.0, atualize para uma versão que corrija o problema de XSS Armazenado para evitar a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Mapro Collins Coming Soon Countdown versões n/a até 2.2 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Páginas Web, também conhecido como Cross-site Scripting, permitindo XSS Refletido. Isso permite que potenciais atacantes injetem scripts maliciosos em páginas web. **Recomendações** Para as versões n/a até 2.2, atualize para uma versão que inclua uma correção para este problema, pois o uso de versões desatualizadas pode expor os usuários a ataques de Cross-site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP Helper Premium até a 4.6.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Autorização Ausente, que permite o acesso a funcionalidades não devidamente restritas por ACLs. **Recomendações** Para versões até a 4.6.1, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Listagens nas versões do Buildium 0.1.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que também permite XSS Armazenado. Isso significa que um invasor poderia potencialmente induzir um usuário a realizar ações não intencionais na aplicação web e também armazenar scripts maliciosos que seriam executados por outros usuários. **Recomendações** Para as versões 0.1.4 e anteriores, atualize para uma versão que corrija a vulnerabilidade de CSRF, garantindo que a validação e verificação adequadas das requisições estejam implementadas para prevenir ações não autorizadas. Como solução alternativa temporária, considere implementar validação adicional para requisições para prevenir ataques de CSRF e restrinja a capacidade de armazenar scripts para minimizar o risco de XSS Armazenado.

**Nome do Software Vulnerável e Versões Afetadas** TableOn – WordPress Posts Table Filterable versões 1.0.3 e anteriores **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting. Isso permite ataques de XSS Armazenado. **Recomendações** Para o TableOn – WordPress Posts Table Filterable versões 1.0.3 e anteriores, atualize para uma versão posterior à 1.0.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** DevriX Restrict User Registration versões 1.0.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite Stored XSS. Isso significa que um atacante pode induzir um usuário a realizar ações não intencionais em uma aplicação web, potencialmente levando à execução de scripts maliciosos armazenados no servidor. **Recomendações** Para as versões 1.0.1 e anteriores do DevriX Restrict User Registration, atualize para uma versão que inclua uma correção para este problema, pois nenhuma medida de mitigação específica é fornecida para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MyBookProgress da Stormhill Media versões 1.0.8 e anteriores **Descrição** O problema está relacionado à neutralização imprópria de entrada durante a geração de páginas web, o que permite Cross-site Scripting (XSS) Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando usuários que acessam a página comprometida. **Recomendações** Para o MyBookProgress da Stormhill Media versões 1.0.8 e anteriores, atualize para uma versão posterior à 1.0.8 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do PlainInventory de n/a até 3.1.9 Descrição: O problema é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite XSS Armazenado (Stored XSS). Isso significa que um atacante pode induzir um usuário a realizar ações não intencionais na aplicação web, potencialmente levando à execução de scripts maliciosos armazenados no servidor. Recomendações: Para as versões do PlainInventory de n/a até 3.1.9, atualize para uma versão que inclua uma correção para este problema, pois não há medidas de mitigação específicas fornecidas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Czater.pl – live chat e telefone versões 1.0.0 a 1.0.5 Descrição: O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite Falsificação de Solicitação Entre Sites. Isso significa que um atacante pode executar ações em nome de outro usuário sem seu conhecimento ou consentimento. Recomendações: Para as versões 1.0.0 a 1.0.5, atualize para uma versão que inclua uma correção para a vulnerabilidade de Falta de Autorização para prevenir ataques de Falsificação de Solicitação Entre Sites. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Ydesignservices Multiple Location Google Map versões 1.1 e anteriores Descrição: O problema é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite XSS Armazenado. Isso significa que um atacante pode enganar um usuário para realizar ações não intencionais em uma aplicação web e também armazenar scripts maliciosos que podem ser executados por outros usuários. Recomendações: Para o Ydesignservices Multiple Location Google Map versões 1.1 e anteriores, como uma solução temporária, considere desativar a funcionalidade que permite entrada de dados do usuário para prevenir ataques de XSS Armazenado até que uma correção esteja disponível. Restrinja o acesso a operações sensíveis para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Nimbata Call Tracking versões 1.7.1 e anteriores Descrição: O problema consiste em uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que também permite XSS Armazenado. Isso significa que um invasor pode induzir um usuário a realizar ações não intencionais na aplicação web, bem como armazenar scripts maliciosos que podem ser executados por outros usuários. Recomendações: Para as versões 1.7.1 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não há nenhuma solução alternativa específica fornecida para essas versões. Como solução alternativa temporária, considere implementar medidas adicionais de proteção CSRF, como validação baseada em tokens, até que uma correção esteja disponível. Restrinja o acesso a funcionalidades sensíveis do Nimbata Call Tracking para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: KeyCAPTCHA versões n/a até 2.5.1 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF) e XSS Armazenado no KeyCAPTCHA. Recomendações: Para as versões n/a até 2.5.1, atualize para uma versão posterior à 2.5.1 para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: DeBounce Email Validator versões n/a até 5.7.1 Descrição: O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, o que permite Cross-site Scripting (XSS) Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente levando a acesso não autorizado ou outras atividades maliciosas. Recomendações: Para o DeBounce Email Validator versões n/a até 5.7.1, atualize para uma versão superior a 5.7.1 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Kevon Adonis WP Abstracts versões 2.7.4 e anteriores Descrição: Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) permite que ações não autorizadas sejam executadas em nome de um usuário. Isso pode levar a diversos problemas de segurança, incluindo modificação de dados ou acesso não autorizado a informações sensíveis. Recomendações: Para as versões 2.7.4 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não há nenhuma solução alternativa específica fornecida para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Foliopress WYSIWYG versões n/a até 2.6.18 Descrição: O problema consiste em uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), que permite a realização de ações não autorizadas na conta de um usuário sem seu conhecimento ou consentimento. Isso ocorre devido à falta de validação adequada das requisições, possibilitando que um atacante induza um usuário a executar ações não intencionais. Recomendações: Para as versões n/a até 2.6.18, atualize para uma versão que inclua uma correção para este problema, já que nenhuma solução alternativa ou mitigação específica é fornecida para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Ankit Singla WordPress Spam Blocker versões 2.0.4 e anteriores Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, o que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente levando a acesso não autorizado ou outras atividades maliciosas. Recomendações: Para o Ankit Singla WordPress Spam Blocker versões 2.0.4 e anteriores, atualize para uma versão superior à 2.0.4 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: rafasashi User Session Synchronizer versões 1.4.0 e anteriores Descrição: O problema consiste em uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que permite Stored XSS. Isso significa que um atacante pode induzir um usuário a realizar ações não intencionais em uma aplicação web, potencialmente resultando na execução de scripts maliciosos armazenados no servidor. Recomendações: Para as versões 1.4.0 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não há medidas de mitigação específicas fornecidas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: axew3 WP w3all phpBB versões 2.9.2 e anteriores Descrição: O problema é uma vulnerabilidade de Falsificação de Solicitação entre Sites (CSRF) que permite XSS Refletido. Recomendações: Para as versões 2.9.2 e anteriores do axew3 WP w3all phpBB, atualize para uma versão que contenha uma correção para este problema.