Ahmad Salem

**Nome do Software Vulnerável e Versões Afetadas** Plugin Pretty Google Calendar para WordPress em versões anteriores à 2.0.1 **Descrição** O plugin Pretty Google Calendar para WordPress está suscetível a acesso não autorizado a dados. Isso se deve à falta de uma verificação de capacidade na função `pgcal ajax handler()`. Isso permite que atacantes não autenticados obtenham a chave da API do Google configurada nas configurações do plugin. **Recomendações** Atualize para a versão 2.0.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin ACF Flexible Layouts Manager para WordPress, versões até a 1.1.6 inclusive **Descrição** O plugin ACF Flexible Layouts Manager para WordPress possui uma falha que permite a modificação não autorizada de dados. Isso se deve à ausência de uma verificação de capacidade dentro da função `acf flm update template with pasted layout()`. Isso permite que atacantes não autenticados atualizem valores de campos personalizados em posts e páginas individuais. **Recomendações** Atualize o plugin ACF Flexible Layouts Manager para uma versão superior à 1.1.6.

**Nome do Software Vulnerável e Versões Afetadas** Hydra Booking — Plugin de Agendamento de Consultas e Calendário de Reservas para WordPress versões anteriores à 1.1.28 **Descrição** O plugin Hydra Booking para WordPress é suscetível a cancelamentos de reservas não autorizados. Isso é causado pelo uso de valores previsíveis na geração de tokens de cancelamento de reserva e um nonce compartilhado globalmente dentro da função `tfhb meeting form submit callback`. Um atacante não autenticado pode cancelar reservas realizando ataques de força bruta contra o endpoint da API `tfhb meeting form cencel`. **Recomendações** Atualize o plugin Hydra Booking para a versão 1.1.28 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Hydra Booking — Plugin de Agendamento de Compromissos e Calendário de Reservas para WordPress versões anteriores à 1.1.28 **Descrição** O plugin Hydra Booking para WordPress possui uma falha na qual a verificação de pagamento está ausente, permitindo que usuários não autenticados contornem os requisitos de pagamento. Isso ocorre porque o plugin aceita dados de confirmação de pagamento fornecidos pelo cliente na função `tfhb meeting paypal payment confirmation callback` sem validá-los com a API do PayPal. Isso permite que atacantes confirmem reservas como pagas sem realizar um pagamento efetivo. **Recomendações** Atualize o plugin Hydra Booking para a versão 1.1.28 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Easy Upload Files During Checkout para WordPress em versões anteriores a 2.9.9 **Descrição** O plugin Easy Upload Files During Checkout para WordPress está suscetível a uploads arbitrários de arquivos JavaScript devido à falta de validação de tipo de arquivo dentro da função `file during checkout`. Isso permite que atacantes não autenticados façam upload de arquivos JavaScript arbitrários para o servidor, potencialmente levando à execução remota de código. **Recomendações** Atualize o plugin Easy Upload Files During Checkout para a versão 2.9.9 ou posterior.