Alexis Lafontaine

**Nome do Software Vulnerável e Versões Afetadas** Smartcat Translator for WPML versões anteriores a 3.1.78 **Descrição** O plugin está sujeito à modificação não autorizada de dados devido à ausência de uma verificação de capacidade no endpoint REST 'routeData'. Esta falha permite que atacantes não autenticados sobrescrevam as credenciais da API, incluindo `account ID`, `API secret key`, `hub key`, `API host` e `hub host`. Tal ação pode levar ao sequestro do serviço de tradução ou a uma negação de serviço. **Recomendações** Atualize para uma versão posterior a 3.1.77. Como medida paliativa temporária, restrinja o acesso ao endpoint REST 'routeData' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** iPOSpays Gateways WC versões anteriores a 1.3.8 **Descrição** O plugin contém uma falha de autorização ausente devido ao endpoint da REST API "/wp-json/ipospays/v1/save settings" ter seu `permission callback` definido como ` return true`. Esta configuração permite o acesso não autenticado sem verificações de capacidade ou verificação de nonce, permitindo que invasores atualizem as configurações do plugin. Especificamente, configurações críticas do gateway de pagamento, incluindo chaves de API ao vivo, chaves secretas e tokens de pagamento armazenados na opção `woocommerce ipospays settings`, podem ser sobrescritas. **Recomendações** Atualize o plugin para uma versão posterior a 1.3.7. Como medida paliativa temporária, restrinja o acesso ao endpoint "/wp-json/ipospays/v1/save settings" para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Pix for WooCommerce versions up to and including 1.5.0 **Description** The Pix for WooCommerce plugin for WordPress is susceptible to arbitrary file uploads. This is due to a missing capability check and a lack of file type validation within the `lkn pix for woocommerce c6 save settings` function. This allows unauthenticated attackers to upload arbitrary files to the affected server, potentially leading to remote code execution. The `lkn pix for woocommerce c6 save settings` function is the point of entry for this issue. **Recommendations** Versions up to and including 1.5.0 should be updated to a newer, fixed version when available. As a temporary workaround, consider restricting access to the `lkn pix for woocommerce c6 save settings` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Agile Logix Post Timeline versions through 2.4.1 **Description** A missing authorization flaw exists in Agile Logix Post Timeline’s `post-timeline` component. This issue stems from incorrectly configured access control security levels, potentially allowing unauthorized access. The `post-timeline` component is susceptible to exploitation due to this flaw. **Recommendations** Update Agile Logix Post Timeline to a version newer than 2.4.1.