Bilal Chawich

**Nome do software vulnerável e versões afetadas** Plugin WP ULike – The Ultimate Engagement Toolkit for Websites para versões do WordPress até a 4.7.4, inclusive **Descrição** O problema é uma vulnerabilidade de falsificação de solicitação entre sites (Cross-Site Request Forgery) devido à falta ou à validação incorreta do nonce na função `wp ulike delete history api()`. Isso permite que invasores não autenticados excluam interações por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 4.7.4, inclusive, considere desativar a função `wp ulike delete history api()` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin SlimStat Analytics para o WordPress, versões até a 5.2.6, inclusive **Descrição** A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) armazenado (Stored Cross-Site Scripting) por meio do parâmetro `resource`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas ao registrar as solicitações dos visitantes. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 5.2.6, inclusive, atualize para uma versão posterior à 5.2.6 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `resource` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Slimstat Analytics WordPress plugin versions prior to 4.9.3 **Description** The issue allows unauthenticated attackers to perform Stored Cross-Site Scripting attacks against logged-in admins viewing the logs, due to the plugin's failure to sanitise and escape the URI when logging requests. **Recommendations** For versions prior to 4.9.3, update to version 4.9.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the logs for logged-in admins until the update is applied.