Bee-K

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Maintenance <= 6.0.7 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Ela afeta o plugin WP Maintenance no WordPress, permitindo uma possível exploração. **Recomendações** Para versões do plugin WP Maintenance <= 6.0.7, atualize para uma versão superior a 6.0.7 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Sygnoos Popup Builder <= 4.1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), que pode levar a uma alteração no status do pop-up. Esse tipo de vulnerabilidade permite que um invasor execute ações em nome de um usuário sem o seu conhecimento ou consentimento. **Recomendações** Para as versões do plugin Sygnoos Popup Builder <= 4.1.0, atualize para uma versão superior a 4.1.0 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Image Slider by NextCode <= 1.1.2 **Descrição** O problema diz respeito a várias vulnerabilidades de falsificação de solicitação entre sites (CSRF). CSRF é um tipo de ataque em que um invasor induz um usuário a realizar ações indesejadas em um aplicativo web no qual o usuário está autenticado. **Recomendações** Para as versões do plugin Image Slider by NextCode <= 1.1.2, atualize para uma versão superior a 1.1.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Image Slider by NextCode <= 1.1.2 **Descrição** A vulnerabilidade consiste em um Cross-Site Scripting (XSS) persistente e autenticado. Isso significa que um invasor com acesso, no mínimo, de nível de autor pode injetar scripts maliciosos no site, os quais serão executados pelos navegadores de outros usuários. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões <= 1.1.2 do plugin Image Slider by NextCode, atualize para uma versão superior a 1.1.2 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** Versões do plugin Private Messages For WordPress <= 2.1.10 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que invasores enviem mensagens. **Recomendações** Para as versões do plugin Private Messages For WordPress <= 2.1.10, atualize para uma versão superior à 2.1.10 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced Contact Form 7 DB <= 1.8.7 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) persistente. Isso significa que um invasor poderia injetar scripts maliciosos no site, os quais seriam então executados pelos navegadores de outros usuários. **Recomendações** Para as versões do plugin Advanced Contact Form 7 DB <= 1.8.7, atualize para uma versão superior à 1.8.7 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin KubiQ CPT base <= 5.8 **Descrição** Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) permite que um invasor exclua a base CPT. Isso pode ser explorado por um invasor para manipular solicitações, levando potencialmente a ações não autorizadas no sistema afetado. **Recomendações** Para as versões do plugin KubiQ CPT base <= 5.8, atualize para uma versão superior à 5.8 para resolver o problema. Como solução temporária, considere implementar verificações de validação adicionais para as solicitações, a fim de impedir ações não autorizadas. Restrinja o acesso a funcionalidades confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 4.1 do plugin PNG to JPG da KubiQ **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) que pode ser explorada por meio de Cross-Site Request Forgery (CSRF). O parâmetro `&jpg quality` está vulnerável. **Recomendações** Para versões anteriores à 4.1, atualize para a versão 4.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro vulnerável `&jpg quality` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Counter Box anteriores à 1.1.2 **Descrição** O problema está relacionado a uma vulnerabilidade de Inclusão de Arquivo Local Autenticada (LFI). Isso significa que um invasor com acesso de administrador ou função superior pode potencialmente incluir e executar arquivos locais no servidor, o que poderia levar à exposição de dados confidenciais ou à execução de código. **Recomendações** Para versões anteriores à 1.1.2, atualize para a versão 1.1.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Code Snippets <= 2.14.3 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) refletido. Ela ocorre por meio do parâmetro vulnerável `orderby`. **Recomendações** Para versões do plugin Code Snippets <= 2.14.3, atualize para uma versão superior a 2.14.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `orderby` no endpoint da API afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do plugin Code Snippets Extended <= 1.4.7 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que um invasor execute ações como excluir ou ativar/desativar trechos de código. **Recomendações** Para as versões do plugin Code Snippets Extended <= 1.4.7, atualize para uma versão superior à 1.4.7 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Code Snippets Extended, versões 1.4.7 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) persistente. Ela pode ser explorada por meio de Cross-Site Request Forgery (CSRF) e envolve os parâmetros vulneráveis `title` e `snippet code`. **Recomendações** Para as versões 1.4.7 e anteriores do plugin Code Snippets Extended, atualize para uma versão posterior à 1.4.7 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar os parâmetros `title` e `snippet code` no plugin afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin Rara One Click Demo Import, versão 1.2.9 e anteriores **Descrição** A vulnerabilidade permite que invasores induzam usuários administradores conectados a fazer o upload de arquivos perigosos para o diretório /wp-content/uploads/ por meio de um ataque de falsificação de solicitação entre sites (CSRF), levando a uma vulnerabilidade de upload arbitrário de arquivos. **Recomendações** Para o plugin Rara One Click Demo Import versão 1.2.9 e anteriores, atualize para uma versão posterior à 1.2.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório /wp-content/uploads/ para minimizar o risco de exploração.