Bugb Hunter

**Nome do software vulnerável e versões afetadas** Versões do plugin Comment Guestbook <= 0.8.0 no WordPress. **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor, com privilégios de administrador ou superiores, pode injetar scripts maliciosos no site, que serão executados pelos navegadores de outros usuários. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do plugin Comment Guestbook <= 0.8.0, atualize para uma versão superior a 0.8.0 para resolver o problema. Como solução temporária, considere desativar o plugin Comment Guestbook até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Social Media Follow Buttons Bar anteriores à 4.74 **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Essa vulnerabilidade pode ser explorada por um administrador ou por um usuário com privilégios superiores. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para versões do plugin Social Media Follow Buttons Bar anteriores à 4.74, atualize para a versão 4.74 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** MyThemeShop Launcher: as versões do plugin “Coming Soon & Maintenance Mode” anteriores à 1.1.12 não estão especificadas, mas a versão é <= 1.0.11 **Descrição** O problema é uma vulnerabilidade de tipo “Cross-Site Scripting (XSS) armazenado e autenticado”. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos no aplicativo, que podem então ser executados por outros usuários. **Recomendações** Para versões do plugin MyThemeShop Launcher: Coming Soon & Maintenance Mode anteriores ou iguais à 1.0.11, atualize para uma versão superior à 1.0.11 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Webba Booking <= 4.2.21 **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos na aplicação, os quais podem então ser executados por outros usuários. **Recomendações** Para as versões do plugin Webba Booking <= 4.2.21, atualize para uma versão superior à 4.2.21 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin “Social Media Share Buttons” de René Hermenau, versões <= 3.8.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos no aplicativo, que podem então ser executados por outros usuários. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões <= 3.8.1 do plugin Social Media Share Buttons de René Hermenau, atualize para uma versão superior à 3.8.1 para resolver o problema. Como solução temporária, considere restringir o acesso à interface administrativa do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Ninja Forms Contact Form anteriores à 3.6.9 **Descrição** O problema está relacionado a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) que requer autenticação com privilégios de administrador. Ela afeta o plugin Ninja Forms Contact Form no WordPress. A vulnerabilidade pode ser explorada por meio da variável `label`. **Recomendações** Para versões anteriores à 3.6.9, atualize para uma versão que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin MC4WP <= 4.8.6 **Descrição** O problema é uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Ela afeta usuários com funções de administrador ou superiores. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do plugin MC4WP <= 4.8.6, atualize para uma versão superior à 4.8.6 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin MyThemeShop WP Subscribe, versões <= 1.2.12 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada e autenticada. Ela afeta o plugin MyThemeShop WP Subscribe no WordPress, exigindo autenticação de administrador para ser explorada. **Recomendações** Para as versões do plugin MyThemeShop WP Subscribe <= 1.2.12, atualize para uma versão superior a 1.2.12 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Maintenance anteriores à 6.0.8 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado e autenticado no plugin WP Maintenance. Isso afeta várias entradas e pode ser explorado por administradores autenticados. **Recomendações** Para versões do plugin WP Maintenance anteriores à 6.0.8, atualize para a versão 6.0.8 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Premio Chaty (plugin do WordPress) versões 2.8.3 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com função de administrador ou superior pode injetar scripts maliciosos na aplicação, os quais podem então ser executados por outros usuários. **Recomendações** Para o Premio Chaty (plugin do WordPress) versões 2.8.3 e anteriores, atualize para uma versão posterior à 2.8.3 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Social Media Feather versões <= 2.0.4 **Descrição** O problema é uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos na aplicação, os quais podem então ser executados por outros usuários. **Recomendações** Para versões <= 2.0.4, atualize para uma versão superior a 2.0.4 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação.

**Nome do software vulnerável e versões afetadas** Versões do plugin WordPress Floating Social Media Icon <= 4.3.5 **Descrição** Foi detectada uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado no formulário de configuração de redes sociais do plugin WordPress Floating Social Media Icon. A exploração dessa vulnerabilidade requer um usuário com privilégios elevados, como um administrador. **Recomendações** Para as versões do plugin WordPress Floating Social Media Icon <= 4.3.5, atualize para uma versão superior à 4.3.5 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao formulário de configuração de redes sociais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin para pop-ups, barra de boas-vindas, formulários de inscrição e geração de leads do WordPress – Icegram, versões <= 2.0.2 **Descrição** O problema diz respeito à entrada `headline`, especificamente na variável `&message data[16][headline]`. Essa entrada está vulnerável, podendo permitir exploração. **Recomendações** Para o plugin WordPress Popups, Welcome Bar, Optins e Lead Generation – Icegram versões <= 2.0.2, considere restringir ou sanitizar a entrada da variável `headline` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** YITH Maintenance Mode (plugin do WordPress) versões <= 1.3.7 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Ela afeta o parâmetro `&yith maintenance newsletter submit label`. Essa vulnerabilidade pode ser explorada mesmo quando a configuração do WordPress não permite HTML não filtrado. **Recomendações** Para as versões do YITH Maintenance Mode (plugin do WordPress) <= 1.3.7, atualize para uma versão superior a 1.3.7 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro vulnerável `&yith maintenance newsletter submit label` para minimizar o risco de exploração.