Briana Campbell

**Nome do software vulnerável e versões afetadas** Plugin BizCalendar Web para o WordPress, versões até e incluindo a 1.1.0.19 **Descrição** O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. O parâmetro `tab` é especificamente vulnerável a esse problema. **Recomendações** Para versões até e incluindo a 1.1.0.19, evite usar o parâmetro `tab` nas páginas afetadas até que uma correção esteja disponível. Como solução temporária, considere implementar sanitização de entrada e escapamento de saída adequados para o parâmetro `tab`, a fim de impedir a injeção de scripts web arbitrários.

**Nome do software vulnerável e versões afetadas** Plugin Blue Triad EZAnalytics para o WordPress, versões até a 1.0, inclusive **Descrição** A vulnerabilidade permite que invasores não autenticados injetem scripts web arbitrários nas páginas devido à sanitização insuficiente de entradas e à falta de escapamento de saídas por meio do parâmetro `bt webid`. Isso pode ser explorado se um invasor conseguir induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.0, inclusive, considere desativar o parâmetro `bt webid` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin afetado para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro `bt webid` em páginas afetadas até que o problema seja resolvido.