Adéla Goldová

**Nome do software vulnerável e versões afetadas: Versões do plugin HMS Testimonials anteriores à 2.0.11 Descrição: A vulnerabilidade permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio de vários parâmetros, incluindo `name`, `image`, `url`, `testimonial`, `date format`, em vários formulários e páginas de configurações, como a página “hms-testimonials-addnew”, a página “hms-testimonials-settings”, a página “hms-testimonials-settings-fields” e a página “hms-testimonials-templates-new”. Recomendações: Para versões anteriores à 2.0.11, atualize para a versão 2.0.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros vulneráveis, como `name`, `image`, `url`, `testimonial` e `date format`, nos formulários e páginas de configurações afetados até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** HMS Testimonials plugin versions prior to 2.0.11 **Description** The issue allows remote attackers to hijack the authentication of administrators for various requests, including adding new testimonials via the "hms-testimonials-addnew" page, adding new groups via the "hms-testimonials-addnewgroup" page, changing default settings via the "hms-testimonials-settings" page, changing advanced settings via the "hms-testimonials-settings-advanced" page, changing custom fields settings via the "hms-testimonials-settings-fields" page, or changing template settings via the "hms-testimonials-templates-new" page to wp-admin/admin.php. **Recommendations** Update to version 2.0.11 or later to resolve the issue.