Coiffeur

**Name of the Vulnerable Software and Affected Versions** PHPFusion version 9.03.50 **Description** PHPFusion contains a persistent cross-site scripting issue in the `print.php` page. The application does not properly sanitize user-submitted message content. Attackers can inject malicious JavaScript through forum messages, which will execute when the print page is generated, allowing script execution in victim browsers. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Plugin Simple-File-List para WordPress versões até a 4.2.2 Descrição: O Plugin Simple-File-List para WordPress é vulnerável a Execução Remota de Código via função `rename`. Isso permite que atacantes não autenticados executem código no servidor ao renomear código PHP carregado com uma extensão PNG para uma extensão PHP. Recomendações: Atualize o Plugin Simple-File-List para WordPress para a versão 4.2.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas:** Plugin Simple File List para WordPress versões anteriores à 4.2.3 **Descrição:** Existe uma vulnerabilidade de upload irrestrito de arquivos no plugin Simple File List para WordPress. O endpoint de upload do plugin (`ee-upload-engine.php`) restringe uploads de arquivos com base na extensão, mas carece de validação adequada após a renomeação. Um atacante pode fazer upload de um payload PHP disfarçado como um arquivo .png e, em seguida, usar a funcionalidade de renomeação `ee-file-engine.php` do plugin para alterar a extensão para .php, contornando as restrições de upload e permitindo a execução do payload carregado no servidor. **Recomendações:** Atualize o plugin Simple File List para a versão 4.2.3 ou superior.