Avolume

**Nome do software vulnerável e versões afetadas** The Photo Gallery by 10Web – Plugin do WordPress para galeria de imagens otimizada para dispositivos móveis, versões anteriores à 1.5.75 **Descrição** O problema decorre da falha do plugin em garantir que os arquivos SVG enviados e adicionados a uma galeria não contenham conteúdo malicioso. Isso permite que usuários com permissão para adicionar imagens à galeria enviem um arquivo SVG contendo código JavaScript. Quando a imagem é acessada diretamente, por exemplo, na pasta /wp-content/uploads/photo-gallery/, o código JavaScript é executado, levando a um problema de Cross-Site Scripting (XSS). **Recomendações** Para versões anteriores à 1.5.75, atualize para a versão 1.5.75 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos usuários de enviar arquivos SVG para a galeria até que a atualização seja aplicada. Além disso, restrinja o acesso à pasta /wp-content/uploads/photo-gallery/ para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** The Photo Gallery by 10Web – Plugin do WordPress para galeria de imagens otimizada para dispositivos móveis, versões anteriores à 1.5.75 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados enviem arquivos fora da pasta de uploads prevista devido a um vetor de traversal de caminho, o que pode levar ao acesso não autorizado ao sistema de arquivos. **Recomendações** Para versões anteriores à 1.5.75, atualize para a versão 1.5.75 ou posterior para resolver o problema. Como solução temporária, considere restringir os recursos de upload de arquivos para usuários com privilégios limitados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin FooGallery para WordPress anteriores à 2.0.35 **Descrição** O problema decorre do fato de o campo CSS personalizado de cada galeria não ser devidamente sanitizado ou validado antes de ser exibido na página onde a galeria está incorporada, levando a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada. **Recomendações** Para versões anteriores à 2.0.35, atualize para a versão 2.0.35 ou posterior para resolver o problema. Como solução temporária, considere desativar o campo CSS personalizado de cada galeria até que a atualização seja aplicada. Restrinja o acesso ao recurso de incorporação de galerias para minimizar o risco de exploração. Evite usar o campo CSS personalizado no plugin afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** The Photo Gallery by 10Web - Plugin de WordPress para galeria de imagens otimizada para dispositivos móveis, versões anteriores à 1.5.67 **Descrição** O problema decorre de uma sanitização inadequada do título da galeria, permitindo que usuários com privilégios elevados criem um título contendo uma carga XSS. Essa carga é acionada quando outro usuário visualiza a lista de galerias ou a galeria afetada no painel de administração. O problema é atribuído a uma correção incompleta de uma falha anterior. **Recomendações** Para versões anteriores à 1.5.67, atualize para a versão 1.5.67 ou posterior para resolver o problema.