Amin Beheshti

**Nome do Software Vulnerável e Versões Afetadas** Plugin Birth Chart Compatibility para WordPress em versões anteriores à 2.1 **Descrição** O plugin Birth Chart Compatibility para WordPress está suscetível à divulgação do caminho completo devido à proteção insuficiente contra acesso direto ao arquivo `index.php` do plugin. Isso permite que atacantes não autenticados recuperem o caminho completo da aplicação web, potencialmente facilitando ataques adicionais. As informações divulgadas não causam danos diretos, mas podem ser utilizadas em conjunto com outras vulnerabilidades. **Recomendações** Atualize o plugin Birth Chart Compatibility para a versão 2.1 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: The Guest Support – Plugin de sistema completo de tickets de suporte ao cliente para WordPress, versões anteriores à 1.2.3 Descrição: O problema está relacionado à falta de verificação de permissão na função `deleteMassTickets`, permitindo que atacantes não autenticados excluam tickets de suporte arbitrários, resultando em perda não autorizada de dados. Recomendações: Para versões até a 1.2.2 inclusive, como solução temporária, considere desativar a função `deleteMassTickets` até que um patch esteja disponível. Atualize para uma versão posterior à 1.2.2 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** O plugin The Poll, Survey & Quiz Maker Plugin by Opinion Stage para WordPress, versões até e incluindo a 19.9.0 **Descrição** O problema está relacionado a uma verificação de capacidades mal configurada em várias funções, permitindo que atacantes autenticados com acesso de nível de Contribuidor ou superior modifiquem dados sem autorização. Isso inclui a capacidade de alterar o endereço de e-mail da conexão da conta e desconectar o plugin. O conteúdo criado anteriormente permanece exibido e funcional mesmo que a conta seja desconectada. **Recomendações** Para versões até e incluindo a 19.9.0, atualize para uma versão superior à 19.9.0 para resolver o problema. Como solução temporária, considere restringir o acesso às funções do plugin para prevenir modificações não autorizadas até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** WS Form LITE – Construtor de Formulários de Contato Arrastar e Soltar para WordPress versões anteriores a 1.10.36 **Descrição** A falha permite acesso não autorizado a dados devido à ausência de uma verificação de capacidade na função `get config`. Isso possibilita que atacantes não autenticados leiam o valor das configurações do plugin, incluindo chaves de API para serviços integrados. **Recomendações** Para o WS Form LITE – Construtor de Formulários de Contato Arrastar e Soltar para WordPress versões anteriores a 1.10.36, atualize para a versão 1.10.36 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `get config` até que uma correção esteja disponível.