Abi Wiranata

**Nome do Software Vulnerável e Versões Afetadas** SEO Plugin by Squirrly SEO versões anteriores a 12.4.17 **Descrição** O plugin não verifica adequadamente se um usuário está autorizado a realizar ações específicas. Isso permite que atacantes autenticados com nível de acesso de contribuidor ou superior executem operações de API de nuvem com alteração de estado privilegiada. Especificamente, atacantes podem revogar as integrações do Google Search Console e do Google Analytics usando os endpoints "api/gsc/revoke" e "api/ga/revoke". Essas operações deveriam ser restritas a usuários de nível administrador que possuam a capacidade `sq manage settings`. **Recomendações** Atualize para uma versão posterior a 12.4.16.

**Nome do Software Vulnerável e Versões Afetadas** Charitable – Donation Plugin for WordPress versões anteriores a 1.8.10.5 **Descrição** O plugin Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More para WordPress contém uma falha de SQL Injection genérica. Este problema ocorre devido à escape insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes autenticados com acesso à área de administração de gerenciamento de doações e a capacidade `edit others donations` podem anexar consultas SQL adicionais através do parâmetro `s` para extrair informações sensíveis do banco de dados. **Recomendações** Atualize para uma versão posterior à 1.8.10.4. Como medida paliativa temporária, restrinja o acesso à área de administração de gerenciamento de doações apenas a usuários altamente confiáveis para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions O plugin Royal WordPress Backup & Restore Plugin para WordPress versões até e incluindo 1.0.16 Description O plugin Royal WordPress Backup & Restore Plugin para WordPress é suscetível a Cross-Site Scripting Refletido através do parâmetro `wpr pending template` devido à validação de entrada insuficiente. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, que podem ser executados se um administrador for enganado a realizar uma ação, como clicar em um link. Recommendations Atualize o plugin Royal WordPress Backup & Restore Plugin para uma versão posterior a 1.0.16.