Aitor F

**Nome do software vulnerável e versões afetadas** 3D FlipBook, PDF Viewer, PDF Embedder – Plugin Real 3D FlipBook para WordPress, versões até 4.6 **Descrição** O problema decorre da falta de validação do tipo de arquivo na função `r3dfb save thumbnail callback`, permitindo que invasores autenticados com acesso de nível Autor ou superior enviem arquivos arbitrários para o servidor do site afetado. Isso pode possibilitar a execução remota de código. **Recomendações** Para versões até 4.6, atualize o plugin para uma versão que inclua a correção para este problema. Como solução temporária, considere restringir o acesso à função `r3dfb save thumbnail callback` até que um patch esteja disponível. Restrinja os uploads de arquivos apenas aos tipos de arquivos necessários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Extra Product Options Builder para WooCommerce para o WordPress, versões até e incluindo a 1.2.133 **Descrição** O problema decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores não autenticados injetem scripts web arbitrários nas páginas por meio do parâmetro `RednaoSerializedFields` durante a criação de um arquivo de assinatura. Isso permite a execução dos scripts injetados sempre que um usuário acessa uma página afetada. **Recomendações** Para versões até a 1.2.133, inclusive, considere desativar o parâmetro `RednaoSerializedFields` até que um patch esteja disponível para impedir a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.