C3P0D4Y

**Nome do software vulnerável e versões afetadas** Plugin “Cookie Notice & Compliance for GDPR / CCPA” para o WordPress, versões até a 2.4.17.1, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com privilégios administrativos injetem scripts web arbitrários em páginas que serão executados quando um usuário acessar a página injetada /wp-admin/admin.php?page=cookie-notice. O problema afeta instalações multisite e instalações nas quais o unfiltered html foi desativado. **Recomendações** Para versões até e incluindo a 2.4.17.1, atualize para uma versão superior à 2.4.17.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `cookie notice options[refuse code head]` e à página /wp-admin/admin.php?page=cookie-notice para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Popup Maker para WordPress anteriores à 1.16.11 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de Colaborador realizem ataques de Stored Cross-Site Scripting, que poderiam ser usados contra administradores, devido ao fato de o plugin não sanitizar e escapar algumas de suas opções de pop-up. **Recomendações** Para versões anteriores à 1.16.11, atualize para a versão 1.16.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso da função de Colaborador às opções do plugin para minimizar o risco de exploração.