Alex Tselevich

Name of the Vulnerable Software and Affected Versions Plugin YML for Yandex Market WordPress versões anteriores a 5.0.26 Description O plugin YML for Yandex Market WordPress é suscetível à Execução Remota de Código através de seu processo de geração de feed. Recommendations Atualize para a versão 5.0.26 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Responsive Plus WordPress plugin versions prior to 3.4.3 **Description** The software allows unauthenticated users to execute the `update responsive woo free shipping left shortcode` AJAX action without proper validation of the `content rech data` parameter. This can lead to arbitrary shortcode execution. The vulnerable action processes the `content rech data` parameter as a shortcode. **Recommendations** Update to version 3.4.3 or later.

**Name of the Vulnerable Software and Affected Versions** User Activity Log WordPress plugin versions through 2.2 **Description** The User Activity Log WordPress plugin does not correctly manage unsuccessful login attempts. This allows individuals without authorization to modify plugin settings, such as enabling User Registration even when it is disabled. **Recommendations** Update the User Activity Log WordPress plugin to a version later than 2.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin The Team para WordPress anteriores à 5.0.11 **Descrição** O plugin The Team para WordPress não sanitiza e escapa corretamente um parâmetro antes de usá-lo em uma instrução SQL via uma ação AJAX. Isso permite que usuários não autenticados potencialmente executem ataques de injeção de SQL. O problema está relacionado à validação de entrada insuficiente antes de utilizar dados dentro de uma consulta SQL. A ação vulnerável é acessível através de uma requisição AJAX. Um parâmetro específico não é adequadamente sanitizado, levando ao potencial para execução de código malicioso. **Recomendações** Atualize o plugin The Team para WordPress para a versão 5.0.11 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Logo Slider WordPress plugin versions prior to 4.9.0 **Description** The software does not properly validate and escape slider options before displaying them in the dashboard. This could allow users with contributor access or higher to perform Stored Cross-Site Scripting attacks. **Recommendations** Update to version 4.9.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Plugin YaMaps para WordPress versões anteriores à 0.6.40 **Descrição** O plugin YaMaps para WordPress não valida e escapa corretamente os atributos de shortcode antes de exibi-los em uma página ou post. Isso pode permitir que usuários com a função de contribuidor ou superior executem ataques de Cross-Site Scripting (XSS) Armazenado. A questão envolve o tratamento inadequado de dados fornecidos pelo usuário dentro dos atributos de shortcode, potencialmente levando à injeção de scripts maliciosos. **Recomendações** Atualize o plugin YaMaps para WordPress para a versão 0.6.40 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Plugin Organizer anteriores à 10.2.4 **Descrição** O plugin WordPress Plugin Organizer não sanitiza e escapa corretamente um parâmetro antes de utilizá-lo em uma instrução SQL. Isso permite que assinantes potencialmente executem ataques de injeção de SQL. **Recomendações** Atualize o Plugin Organizer para a versão 10.2.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Ocean Modal Window para WordPress anteriores a 2.3.3 **Descrição** O plugin Ocean Modal Window para WordPress é afetado por uma vulnerabilidade de Execução Remota de Código. O problema está relacionado à lógica de exibição do modal, onde condições controladas pelo usuário, definidas por Editores e Administradores (com a capacidade `edit pages`), são executadas como parte de uma instrução `eval` em cada página do site. Isso pode levar à execução remota de código. **Recomendações** Atualize o plugin Ocean Modal Window para WordPress para a versão 2.3.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plug-in HandL UTM Grabber / Tracker para WordPress versões anteriores à 2.8.1 **Descrição** O plug-in HandL UTM Grabber / Tracker para WordPress não sanitiza e não faz o escape adequado de um parâmetro antes de exibi-lo, resultando em uma vulnerabilidade de Cross-Site Scripting Refletido. Isso pode potencialmente ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Atualize o plug-in HandL UTM Grabber / Tracker para WordPress para a versão 2.8.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin HandL UTM Grabber / Tracker para WordPress anteriores à 2.8.1 **Descrição** O plugin HandL UTM Grabber / Tracker para WordPress está suscetível a uma vulnerabilidade de Cross-Site Scripting Refletido. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Uma exploração bem-sucedida poderia potencialmente visar usuários com altos privilégios, como administradores. O problema envolve o tratamento inadequado de entrada fornecida pelo usuário, permitindo que scripts maliciosos sejam injetados e executados no contexto da sessão de um usuário legítimo. **Recomendações** Atualize o plugin HandL UTM Grabber / Tracker para WordPress para a versão 2.8.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress WPeMatico RSS Feed Fetcher versões anteriores à 2.8.13 **Descrição** O plugin WordPress WPeMatico RSS Feed Fetcher não sanitiza e escapa corretamente determinadas configurações. Isso poderia permitir que usuários com privilégios elevados, como contribuidores, executem ataques de Cross-Site Scripting (XSS) Armazenado. O XSS Armazenado ocorre quando scripts maliciosos são armazenados de forma persistente no servidor alvo e, em seguida, entregues a outros usuários. **Recomendações** Atualize para a versão 2.8.13 ou posterior.