Apple502J

**Nome do software vulnerável e versões afetadas** Versões do Command Block IDE até a 0.4.9, inclusive **Descrição** O problema está relacionado a uma falha de autorização que permite que qualquer usuário modifique arquivos `function` usados pelo jogo quando o mod está instalado em um servidor dedicado. Isso se deve a uma falha de autorização. **Recomendações** Para as versões do Command Block IDE até a 0.4.9, inclusive, considere restringir o acesso aos arquivos `function` para impedir modificações não autorizadas até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Plasmoapp RPShare Fabric mod versão 1.0.0 **Descrição** A vulnerabilidade permite que um invasor remoto execute código arbitrário por meio do método `build` em `DownloadPromptScreen`. **Recomendações** Para o Plasmoapp RPShare Fabric mod versão 1.0.0, considere desativar o método `build` em `DonwloadPromptScreen` como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plasmoapp RPShare Fabric mod versão 1.0.0 **Descrição** A vulnerabilidade permite que um invasor remoto execute código arbitrário. Isso é feito por meio do método `getFileNameFromConnection` em `DownloadTask`. **Recomendações** Para o Plasmoapp RPShare Fabric mod versão 1.0.0, considere desativar o método `getFileNameFromConnection` em `DownloadTask` como uma solução temporária até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** JustEnoughItems (JEI) versões 19.5.0.33 e anteriores **Descrição** O problema está relacionado a uma validação inadequada de índices, posições ou deslocamentos especificados na entrada, especificamente uma falha na validação do índice de slot no JEI para Minecraft. Isso permite a duplicação de itens no jogo. **Recomendações** Para as versões 19.5.0.33 e anteriores do JustEnoughItems (JEI), considere desativar o recurso de validação do índice de slot até que uma correção esteja disponível. Restrinja o acesso ao módulo JEI para minimizar o risco de exploração. Evite usar a variável `slot index` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.1.10 e anteriores do EMI **Descrição** O problema está relacionado a uma vulnerabilidade de validação inadequada de índice, posição ou deslocamento especificados na entrada. Especificamente, trata-se de uma falha na validação do índice do slot e na redução da contagem da pilha no mod EMI para Minecraft, permitindo a duplicação de itens no jogo. **Recomendações** Para as versões 1.1.10 e anteriores do EMI, atualize para a versão 1.1.11 para resolver o problema. Como solução temporária, considere restringir o uso do mod EMI até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Mommy Heather Advanced Backups, versões até 3.5.3 **Descrição** A vulnerabilidade permite que invasores gravem arquivos arbitrários ao restaurar um backup manipulado. **Recomendações** Para versões até 3.5.3, atualize para uma versão posterior à 3.5.3 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do WordPress 4.1 a 4.1.40 Versões do WordPress 4.2 a 4.2.37 Versões do WordPress 4.3 a 4.3.33 Versões do WordPress 4.4 a 4.4.32 Versões do WordPress 4.5 a 4.5.31 Versões do WordPress 4.6 a 4.6.28 Versões do WordPress 4.7 a 4.7.28 Versões do WordPress 4.8 a 4.8.24 Versões do WordPress 4.9 a 4.9.25 Versões do WordPress 5.0 a 5.0.21 Versões do WordPress 5.1 a 5.1.18 Versões do WordPress 5.2 a 5.2.20 Versões do WordPress 5.3 a 5.3.17 Versões do WordPress 5.4 a 5.4.15 Versões do WordPress 5.5 a 5.5.14 Versões do WordPress 5.6 a 5.6.13 Versões do WordPress 5.7 a 5.7.11 Versões do WordPress 5.8 a 5.8.9 Versões do WordPress 5.9 a 5.9.9 Versões do WordPress 6.0 a 6.0.8 Versões do WordPress 6.1 a 6.1.6 Versões do WordPress 6.2 a 6.2.5 Versões do WordPress 6.3 a 6.3.4 Versões do WordPress 6.4 a 6.4.4 Versões do WordPress 6.5 a 6.5.4 **Descrição** O problema está relacionado a uma limitação inadequada de um nome de caminho para um diretório restrito, também conhecida como vulnerabilidade de traversal de caminho. Isso permite o traversal de caminho relativo no WordPress da Automattic. **Recomendações** Para as versões do WordPress 4.1 a 4.1.40, atualize para uma versão fora desse intervalo. Para as versões do WordPress 4.2 a 4.2.37, atualize para uma versão fora desse intervalo. Para as versões do WordPress 4.3 a 4.3.33, atualize para uma versão fora desse intervalo. Para o WordP

**Nome do software vulnerável e versões afetadas** Versões do iceice666 ResourcePack Server anteriores à 1.0.8 **Descrição** Uma vulnerabilidade de traversal de diretório permite que um invasor remoto divulgue arquivos no servidor. A vulnerabilidade está relacionada à função `setPath` no arquivo `ResourcePackFileServer.kt`. **Recomendações** Para versões anteriores à 1.0.8, atualize para a versão 1.0.8 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à função `setPath` no `ResourcePackFileServer.kt` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do zly2006 Reden anteriores à 0.2.514 **Descrição** Uma vulnerabilidade de traversal de diretório permite que um invasor remoto execute código arbitrário por meio da função `DEBUG RTC REQUEST SYNC DATA` no arquivo `KeyCallbacks.kt`. Isso possibilita que o invasor acesse e manipule dados confidenciais. **Recomendações** Para versões anteriores à 0.2.514, atualize para a versão 0.2.514 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao `DEBUG RTC REQUEST SYNC DATA` em `KeyCallbacks.kt` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Devan-Kerman ARRP versões 0.8.1 e anteriores **Descrição** A vulnerabilidade permite que um invasor remoto execute código arbitrário por meio da função `dumpDirect` no componente `RuntimeResourcePackImpl`. Isso possibilita que o invasor acesse e manipule arquivos no sistema, levando a ações não autorizadas. **Recomendações** Para as versões 0.8.1 e anteriores do Devan-Kerman ARRP, considere desativar a função `dumpDirect` no componente `RuntimeResourcePackImpl` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao componente `RuntimeResourcePackImpl` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kihron ServerRPExposer versões 1.0.2 e anteriores **Descrição** Uma vulnerabilidade de traversal de diretório permite que um invasor remoto execute código arbitrário por meio do método `loadServerPack` no arquivo `ServerResourcePackProviderMixin.java`. Isso permite que o invasor possa acessar e manipular arquivos fora da estrutura de diretórios prevista. **Recomendações** Para as versões 1.0.2 e anteriores, considere desativar a função `loadServerPack` em `ServerResourcePackProviderMixin.java` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo `ServerResourcePackProviderMixin.java` para minimizar o risco de exploração. Evite usar a função `loadServerPack` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin “simple sort&search” do WordPress, versões 0.0.3 e anteriores **Descrição** O problema decorre do fato de o plugin simple sort&search do WordPress não validar o parâmetro `indexurl` de determinados shortcodes, incluindo `category sims`, `order sims`, `orderby sims`, `period sims` e `tag sims`, para garantir que utilizem protocolos de URL permitidos. Essa falha pode levar a um cross-site scripting armazenado, potencialmente explorável por usuários com uma função tão baixa quanto a de Colaborador. **Recomendações** Para as versões 0.0.3 e anteriores, como solução temporária, considere desativar os códigos de atalho `category sims`, `order sims`, `orderby sims`, `period sims` e `tag sims` até que um patch esteja disponível. Restrinja o acesso a esses códigos de atalho para minimizar o risco de exploração. Evite usar o parâmetro `indexurl` nos códigos de atalho afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Sollace Unicopia versions 1.1.1 and before **Description** The issue allows attackers to execute arbitrary code due to the deserialization of untrusted data. **Recommendations** For versions 1.1.1 and before, update to a version that does not deserialize untrusted data to prevent arbitrary code execution. As a temporary workaround, consider restricting the input data to trusted sources until a patch is available.

**Name of the Vulnerable Software and Affected Versions** VK All in One Expansion Unit versions 9.88.1.0 and earlier **Description** A cross-site scripting issue in the Profile setting function allows a remote authenticated attacker to inject an arbitrary script. **Recommendations** For versions 9.88.1.0 and earlier, update to a version that fixes this issue to prevent arbitrary script injection. As a temporary workaround, consider restricting access to the Profile setting function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** VK Blocks versions 1.53.0.1 and earlier VK Blocks Pro versions 1.53.0.1 and earlier **Description** A cross-site scripting issue in the Tag edit function allows a remote authenticated attacker to inject an arbitrary script. This enables the attacker to execute malicious code on the affected system. **Recommendations** For VK Blocks versions 1.53.0.1 and earlier, update to a version later than 1.53.0.1 to resolve the issue. For VK Blocks Pro versions 1.53.0.1 and earlier, update to a version later than 1.53.0.1 to resolve the issue. As a temporary workaround, consider restricting access to the Tag edit function in VK Blocks and VK Blocks Pro until a patch is available.

**Name of the Vulnerable Software and Affected Versions** VK Blocks versions 1.53.0.1 and earlier VK Blocks Pro versions 1.53.0.1 and earlier **Description** A cross-site scripting issue in the Post function allows a remote authenticated attacker to inject an arbitrary script. **Recommendations** For VK Blocks versions 1.53.0.1 and earlier, update to a version later than 1.53.0.1. For VK Blocks Pro versions 1.53.0.1 and earlier, update to a version later than 1.53.0.1.

**Name of the Vulnerable Software and Affected Versions** VK All in One Expansion Unit versions 9.88.1.0 and earlier **Description** A cross-site scripting issue in the CTA post function allows a remote authenticated attacker to inject an arbitrary script. **Recommendations** For versions 9.88.1.0 and earlier, update to a version that contains a fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Passster WordPress plugin versions prior to 3.5.5.8 **Description** The issue allows users with a role as low as Contributor to perform Cross-Site Scripting attacks due to the `area` parameter of its shortcode not being properly escaped. **Recommendations** For versions prior to 3.5.5.8, update to version 3.5.5.8 or later to resolve the issue. As a temporary workaround, consider restricting the use of the shortcode or limiting user roles to prevent potential exploitation.

**Nome do software vulnerável e versões afetadas** As versões do plugin Download Plugin para WordPress anteriores à 2.0.0 **Descrição** O problema decorre de uma validação inadequada dos privilégios do usuário para acessar o identificador nonce de um backup. Isso pode permitir que qualquer usuário com uma conta no site, como assinantes, baixe uma cópia completa do site. **Recomendações** Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de backup para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Extensão ScratchLogin, versões 1.1 e anteriores, para MediaWiki **Descrição** A vulnerabilidade permite que usuários com privilégios de administrador realizem ataques de cross-site scripting (XSS) devido à falha na escapagem de mensagens de falha de verificação. **Recomendações** Para as versões 1.1 e anteriores da extensão ScratchLogin, considere desativar a extensão até que um patch esteja disponível para prevenir ataques de cross-site scripting (XSS).