Abu Hurayra

Insertion of Sensitive Information Into Sent Data vulnerability in Tom GenerateBlocks allows Retrieve Embedded Sensitive Data. This issue affects GenerateBlocks: from n/a through 2.1.0.

**Name of the Vulnerable Software and Affected Versions** IdeaBox Creations PowerPack Addons for Elementor versions through 2.9.9 **Description** The software contains a flaw related to improper input handling during web page generation, specifically a cross-site scripting issue. This allows for stored cross-site scripting (XSS) attacks. The vulnerable component is `powerpack-lite-for-elementor`. **Recommendations** Versions prior to and including 2.9.9 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Noor Alam Magical Addons For Elementor versions through 1.4.1 **Description** A flaw exists in Noor Alam Magical Addons For Elementor that allows for Stored Cross-site Scripting (XSS). This issue is due to improper neutralization of input during web page generation. The vulnerability could allow an attacker to inject malicious scripts into web pages viewed by other users. The vulnerable component is `magical-addons-for-elementor`. **Recommendations** Versions prior to 1.4.1 should be updated.

**Name of the Vulnerable Software and Affected Versions** WPVibes Elementor Addon Elements versions through 1.14.4 **Description** A flaw exists in WPVibes Elementor Addon Elements that allows retrieval of embedded sensitive data due to insertion of sensitive information into sent data. **Recommendations** Update WPVibes Elementor Addon Elements to a version later than 1.14.4.

**Name of the Vulnerable Software and Affected Versions** X Addons for Elementor versions through 1.0.23 **Description** An issue exists in X Addons for Elementor where incorrectly configured access control security levels can be exploited, leading to a missing authorization condition. The vulnerability allows unauthorized access. **Recommendations** Update X Addons for Elementor to a version later than 1.0.23.

**Name of the Vulnerable Software and Affected Versions** Phlox Theme Plugin for WordPress versions prior to 2.17.14 **Description** The Shortcodes and extra features for Phlox theme plugin for WordPress is susceptible to Stored Cross-Site Scripting. This occurs due to insufficient input sanitization and output escaping when handling the `tag` and `title tag` parameters. Authenticated attackers with Contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update the Phlox Theme Plugin for WordPress to version 2.17.14 or later.

**Name of the Vulnerable Software and Affected Versions** pencilwp X Addons for Elementor versions through 1.0.23 **Description** An issue exists in pencilwp X Addons for Elementor that allows for DOM-Based Cross-site Scripting (XSS). This is due to improper neutralization of input during web page generation. The issue allows an attacker to inject malicious scripts into web pages, potentially compromising user data or system security. The vulnerable component allows for the execution of arbitrary JavaScript code within the context of the user's browser. **Recommendations** Update pencilwp X Addons for Elementor to a version later than 1.0.23.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Colibri Page Builder para WordPress versões anteriores à 1.0.346 **Descrição** O plugin Colibri Page Builder para WordPress está suscetível a Cross-Site Scripting Armazenado através do shortcode `colibri blog posts`. A sanitização insuficiente de entrada e o escape de saída inadequado em atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página injetada. **Recomendações** Atualize o plugin Colibri Page Builder para a versão 1.0.346 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** PickPlugins Post Grid and Gutenberg Blocks versões até a 2.3.17 **Descrição** Existe uma falha de ausência de autorização no PickPlugins Post Grid and Gutenberg Blocks. Este problema permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o PickPlugins Post Grid and Gutenberg Blocks para uma versão posterior à 2.3.17.

**Nome do Software Vulnerável e Versões Afetadas** Versões do PostX até a 4.1.36 **Descrição** Existe uma falha de autorização no WPXPO PostX ultimate-post devido à configuração incorreta dos níveis de segurança do controle de acesso. Isso permite a exploração do sistema. **Recomendações** Atualize o PostX para uma versão posterior à 4.1.36.

**Nome do Software Vulnerável e Versões Afetadas** Versões do All In One SEO Pack até a 4.8.6.1 **Descrição** O software All In One SEO Pack contém uma falha que permite a recuperação de dados sensíveis incorporados devido à inserção de informações sensíveis nos dados enviados. **Recomendações** Atualize o All In One SEO Pack para uma versão posterior à 4.8.6.1.

**Nome do Software Vulnerável e Versões Afetadas** O plugin Better Elementor Addons para WordPress versões até e incluindo a 1.5.4 **Descrição** O software é suscetível a Cross-Site Scripting Armazenado (Stored XSS) através do widget Slider. Isso se deve à sanitização de entrada e ao escape de saída inadequados dos atributos fornecidos pelo usuário. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web maliciosos nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin Better Elementor Addons para uma versão posterior à 1.5.4.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Magical Posts Display para WordPress versões até a 1.2.54 **Descrição** O software está suscetível a Cross-Site Scripting Armazenado através do parâmetro `mpac title tag` no widget Magical Posts Accordion. A sanitização de entrada e o escape de saída insuficientes dos nomes de tags HTML fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de Autor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página injetada. **Recomendações** Atualize o plugin Magical Posts Display para uma versão posterior à 1.2.54.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Magical Products Display para WordPress versões até e incluindo a 1.1.29 **Descrição** O plugin Magical Products Display para WordPress está suscetível a Cross-Site Scripting Armazenado. Isso se deve à sanitização de entrada e escape de saída insuficientes dos nomes de tags HTML fornecidos pelo usuário nos parâmetros `mpdpr title tag` e `mpdpr subtitle tag` dentro do widget MPD Pricing Table. Atacantes autenticados com acesso de nível de Contribuidor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts serão executados quando um usuário acessar a página injetada. **Recomendações** Atualize o plugin Magical Products Display para uma versão posterior à 1.1.29.

**Nome do Software Vulnerável e Versões Afetadas** Plugin HT Mega – Absolute Addons For Elementor para WordPress versões anteriores à 3.0.0 **Descrição** O plugin HT Mega – Absolute Addons For Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado através de seus blocos do Gutenberg. Isso é causado por uma validação de entrada inadequada de nomes de tags HTML fornecidos pelo usuário, especificamente a falta de uma lista branca de nomes de tags. Tags perigosas como `script`, `iframe` e `object` podem ser injetadas apesar do uso de `tag escape()` para sanitização. Embora alguns blocos utilizem `esc html()` para conteúdo, isso pode ser contornado usando técnicas de codificação JavaScript, como strings sem aspas, backticks e `String.fromCharCode()`. Atacantes autenticados com acesso de nível de colaborador ou superior podem injetar scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin HT Mega – Absolute Addons For Elementor para a versão 3.0.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin aThemes Addons for Elementor para WordPress versões até a 1.1.5 **Descrição** O plugin aThemes Addons for Elementor para WordPress possui uma falha que permite a injeção de scripts web maliciosos. Isso ocorre devido ao tratamento inadequado de dados fornecidos pelo usuário dentro do widget Call To Action. Atacantes autenticados com permissões de nível de contribuidor ou superiores podem explorar essa falha para inserir scripts web arbitrários em páginas. Esses scripts serão executados quando qualquer usuário visitar a página afetada. A questão origina-se da sanitização de entrada e do escape de saída insuficientes dos valores fornecidos pelo usuário. **Recomendações** Atualize o plugin aThemes Addons for Elementor para WordPress para uma versão posterior à 1.1.5.

**Name of the Vulnerable Software and Affected Versions** PickPlugins Accordion versions through 2.3.14 **Description** A missing authorization issue exists in PickPlugins Accordion accordions, allowing exploitation of incorrectly configured access control security levels. **Recommendations** Versions prior to 2.3.14 are affected.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Blockspare n/a até 3.2.13.2 **Descrição** Existe uma falha no Blockspare que permite a recuperação de dados sensíveis incorporados devido à inserção de informações sensíveis nos dados enviados. O número de dispositivos potencialmente afetados em todo o mundo não é especificado. Não há relatos de incidentes reais onde essa questão foi explorada. Nenhum endpoint de API específico, parâmetros vulneráveis ou nomes de funções são mencionados nas informações fornecidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SureForms – Construtor de Formulários Arrastar e Soltar para WordPress versões anteriores à 1.12.2 **Descrição** O plugin SureForms – Construtor de Formulários Arrastar e Soltar para WordPress contém uma falha no controle de acesso. Especificamente, o endpoint da API '/wp-json/sureforms/v1/srfm-global-settings' não restringe adequadamente o acesso. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior obtenham informações sensíveis. Essas informações incluem chaves de API para Google reCAPTCHA, Cloudflare Turnstile e hCaptcha, bem como endereços de e-mail de administradores e configurações de formulário relacionadas à segurança. **Recomendações** Atualize o SureForms – Construtor de Formulários Arrastar e Soltar para WordPress para a versão 1.12.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Generic Elements plugin for WordPress versions prior to 1.2.4 **Description** The software is susceptible to Stored Cross-Site Scripting due to inadequate input sanitization and output escaping of user-supplied attributes in multiple widget fields. This allows authenticated attackers with contributor-level access or higher to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the affected page. **Recommendations** Update to a version newer than 1.2.4.