Burak Kılınç

**Name of the Vulnerable Software and Affected Versions** Checkout Field Manager (Checkout Manager) for WooCommerce versions prior to 7.8.2 **Description** The Checkout Field Manager (Checkout Manager) for WooCommerce plugin for WordPress is susceptible to unauthenticated limited file upload. This is caused by insufficient authorization checks when handling file upload actions through the `ajax checkout attachment upload` function. An unauthenticated attacker can upload files to the server, but the file types are restricted to WordPress's default allowed MIME types, such as images and documents. **Recommendations** Update to Checkout Field Manager (Checkout Manager) for WooCommerce version 7.8.2 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Call Now Button anteriores à 1.5.5 **Descrição** O plugin Call Now Button para WordPress está suscetível a acesso não autorizado a dados devido à ausência de verificação de capacidades em múltiplas funções. Atacantes com acesso de nível de Assinante ou superior podem gerar links para um portal de cobrança, permitindo-lhes visualizar e modificar informações de cobrança, gerar tokens de sessão de chat e visualizar o status do domínio. A questão foi parcialmente tratada na versão 1.5.4 e totalmente resolvida na versão 1.5.5. As funções vulneráveis carecem de controles de autorização adequados, expondo potencialmente dados sensíveis. **Recomendações** Atualize o Call Now Button para a versão 1.5.5 ou posterior.