C_T_R_L

**Nome do Software Vulnerável e Versões Afetadas** O plugin The Motors – Car Dealer, Classifieds & Listing para WordPress, versões 1.4.43 e anteriores **Descrição** A vulnerabilidade permite que atacantes autenticados com acesso de nível de Assinante ou superior executem shortcodes arbitrários, devido ao software permitir que os usuários executem uma ação sem validar corretamente um valor antes de executar `do shortcode`. Isso possibilita a execução de shortcodes arbitrários. **Recomendações** Para as versões 1.4.43 e anteriores, atualize para uma versão superior à 1.4.43 para resolver o problema. Como medida temporária, considere restringir o acesso à função `do shortcode` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Tailored Tools versões 1.8.4 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da web, o que permite a execução de Cross-site Scripting (XSS) armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, afetando potencialmente os usuários que acessarem as páginas comprometidas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 1.8.4 e anteriores, atualize para uma versão posterior à 1.8.4 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Evite usar pontos de extremidade de API potencialmente vulneráveis até que o problema seja resolvido. No momento, não há informações adicionais sobre outras medidas de mitigação.

**Nome do software vulnerável e versões afetadas** Versões do Convert Docx2post de n/a a 1.4 **Descrição** A vulnerabilidade permite o upload irrestrito de arquivos de tipos perigosos, possibilitando o upload de um web shell para um servidor web. Isso pode ser explorado através do upload de um arquivo malicioso para o servidor. **Recomendações** Para as versões n/a a 1.4, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir o upload de arquivos maliciosos. Restrinja o acesso ao módulo de upload de arquivos para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos no Convert Docx2post até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Subhasis Laha Gallerio, versões n/a a 1.01 **Descrição** A vulnerabilidade permite o upload irrestrito de um arquivo de tipo perigoso, possibilitando o envio de um web shell para um servidor web. Isso pode levar a possíveis riscos de segurança. **Recomendações** Para as versões do Subhasis Laha Gallerio de n/a a 1.01, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir o upload de arquivos maliciosos. Restrinja o acesso ao servidor web para minimizar o risco de exploração. Evite usar a versão vulnerável do Gallerio até que uma versão corrigida seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Russell Albin Simple Business Manager, versões n/a a 4.6.7.4 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Esse problema permite o Stored XSS, em que um invasor pode injetar scripts maliciosos em um site, que são então armazenados e executados pelo próprio site. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões n/a a 4.6.7.4, atualize para uma versão que contenha uma correção para este problema, pois a versão atual é afetada pela vulnerabilidade de XSS armazenado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Ajar in5 Embed versões 3.1.3 e anteriores Descrição: A vulnerabilidade permite o upload irrestrito de arquivos de tipos perigosos, possibilitando que um invasor envie um web shell para um servidor web. Recomendações: Para as versões 3.1.3 e anteriores, atualize para uma versão que contenha uma correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Myriad Solutionz Property Lot Management System, versões n/a a 4.2.38 **Descrição** A falha permite que hackers enviem arquivos maliciosos, explorando uma vulnerabilidade de envio irrestrito de arquivos. Isso possibilita o envio de um web shell para um servidor web. **Recomendações** Para as versões n/a a 4.2.38, atualize para uma versão posterior à 4.2.38 para resolver o problema. Como solução temporária, considere restringir o upload de arquivos para impedir o upload de arquivos maliciosos até que um patch esteja disponível.