Brokenac Ignore

**Nome do Software Vulnerável e Versões Afetadas** Plugin WPBot Pro WordPress Chatbot para WordPress, versões até a 13.5.5 inclusive **Descrição** O problema permite que atacantes autenticados com acesso de nível de Assinante ou superior criem Respostas de Texto Simples para consultas de chat devido à falta de uma verificação de capacidade na função `qc wp latest update check pro`. Isso possibilita a modificação não autorizada de dados. **Recomendações** Para versões até a 13.5.5 inclusive, considere desativar a função `qc wp latest update check pro` até que uma correção esteja disponível para prevenir a modificação não autorizada de dados. Restrinja o acesso ao recurso de criação de resposta para consultas de chat para minimizar o risco de exploração. Evite usar a função afetada para criar Respostas de Texto Simples até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Atarim para WordPress, versões até e incluindo a 4.0.9 **Descrição** O problema está relacionado a uma verificação de capacidade ausente na função `wpf delete file`, permitindo que atacantes não autenticados excluam páginas e arquivos do projeto. Isso resulta em perda não autorizada de dados. **Recomendações** Para versões até e incluindo a 4.0.9, atualize para uma versão superior à 4.0.9 para resolver o problema. Como medida temporária, considere desativar a função `wpf delete file` até que um patch esteja disponível. Restrinja o acesso às páginas e arquivos do projeto para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin The Social Rocket – Social Sharing Plugin, versões até e incluindo a 1.3.4 **Descrição** A falha permite que atacantes autenticados com acesso de nível de Assinante ou superior atualizem as configurações do plugin devido à ausência de verificação de permissão nas funções `tweet settings save()` e `tweet settings update()`. Isso possibilita a modificação não autorizada de dados. **Recomendações** Para versões até e incluindo a 1.3.4, considere desativar as funções `tweet settings save()` e `tweet settings update()` até que um patch esteja disponível, a fim de prevenir atualizações não autorizadas nas configurações do plugin. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Export Import Menus plugin for WordPress versions up to, and including, 1.9.1 **Description** The issue arises from a missing capability check on the `dsp export import menus()` function, allowing unauthorized access to data. This enables unauthenticated attackers to export menu data and settings. **Recommendations** For versions up to, and including, 1.9.1, update to a version higher than 1.9.1 to resolve the issue. As a temporary workaround, consider disabling the `dsp export import menus()` function until a patch is available.

**Nome do software vulnerável e versões afetadas** Plugin Gold Addons for Elementor para o WordPress, versões até a 1.3.2, inclusive **Descrição** A vulnerabilidade permite a modificação não autorizada de dados devido à falta de verificação de permissão nas funções `activate()` e `deactivate()`. Isso possibilita que invasores autenticados, com acesso de nível de Assinante ou superior, ativem e desativem licenças. **Recomendações** Para o plugin Gold Addons for Elementor para versões do WordPress até a 1.3.2, inclusive: atualize o plugin para uma versão que inclua as verificações de permissão necessárias para as funções `activate()` e `deactivate()`. Como solução temporária, considere restringir o acesso às funções `activate()` e `deactivate()` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin de documentação de base de conhecimento e wiki – Plugin BasePress Docs para versões do WordPress até a 2.16.3.3, inclusive **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de Assinante ou superior atualizem o banco de dados devido à falta de uma verificação de permissão na função `basepress db posts update()`. Isso permite a modificação não autorizada de dados. **Recomendações** Para versões até e incluindo a 2.16.3.3, atualize para uma versão superior à 2.16.3.3 para resolver o problema. Como solução temporária, considere restringir o acesso à função `basepress db posts update()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** O plugin WP User Manager – User Profile Builder & Membership para versões do WordPress até a 2.9.11, inclusive **Descrição** O problema está relacionado à falta de uma verificação de permissão nas funções `add sidebar` e `remove sidebar`. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior adicionem ou removam uma barra lateral personalizada do Carbon Fields, caso o plugin Carbon Fields esteja instalado. **Recomendações** Para versões até a 2.9.11, inclusive, considere desativar as funções `add sidebar` e `remove sidebar` até que um patch esteja disponível para impedir a modificação não autorizada de dados. Restrinja o acesso à barra lateral personalizada do Carbon Fields para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Yaad Sarig Payment Gateway For WC para o WordPress, versões até a 2.2.4, inclusive **Descrição** O problema está relacionado à falta de verificação de permissão nas funções `yaadpay view log callback()` e `yaadpay delete log callback()`. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior visualizem e excluam registros, resultando em modificação e acesso não autorizados aos dados. **Recomendações** Para versões até a 2.2.4, inclusive, considere desativar as funções `yaadpay view log callback()` e `yaadpay delete log callback()` até que um patch esteja disponível para impedir o acesso e a modificação não autorizados de logs.