Christian Angel

**Nome do software vulnerável e versões afetadas** O plugin The Shield Security – Smart Bot Blocking & Intrusion Prevention Security para o WordPress, versões até e incluindo a 19.1.13 **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à falta ou incorreção na validação do nonce na função `exec`. Isso permite que invasores não autenticados desativem a proteção por PIN da interface de administração do plugin por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 19.1.13, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função `exec`, a fim de prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso à interface de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin InfiniteWP Client para versões do WordPress até a 1.12.3, inclusive **Descrição** A vulnerabilidade permite que invasores não autenticados extraiam dados confidenciais de um arquivo SQL temporário por meio de solicitações GET repetidas durante o intervalo de tempo limitado do processo de backup, especificamente através da opção de backup com múltiplas chamadas. **Recomendações** Para versões até a 1.12.3, inclusive, atualize para uma versão posterior à 1.12.3 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Android app versions prior to 3.7.0 **Description** The issue concerns improper sanitization of HTML in directory names. This allows styling of the directory name in the header bar when using basic HTML. **Recommendations** For versions prior to 3.7.0, update to version 3.7.0 or later to resolve the issue.