Craig Webb

**Nome do Software Vulnerável e Versões Afetadas** Versões do Listeo anteriores à 2.0.9 **Descrição** O tema Listeo para WordPress é vulnerável a Cross-Site Scripting Armazenado através do shortcode `soundcloud`. A sanitização de entrada e o escape de saída insuficientes em atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. O componente vulnerável é o shortcode `soundcloud`. **Recomendações** Atualize o Listeo para a versão 2.0.9 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WP Dispatcher para WordPress versões anteriores à 1.2.1 **Descrição** O plugin WP Dispatcher para WordPress é suscetível a upload de arquivos arbitrários devido à falta de validação de tipo de arquivo dentro da função `wp dispatcher process upload()`. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior façam upload de arquivos arbitrários para o servidor. Embora exista um arquivo .htaccess para limitar a capacidade de obter execução remota de código, a possibilidade permanece. **Recomendações** Atualize o plugin WP Dispatcher para a versão 1.2.1 ou posterior.