Cybersecdexter

**Nome do software vulnerável e versões afetadas** As versões anteriores à 2.12.2 do plugin FormFlow: WhatsApp Social and Advanced Form Builder with Easy Lead Collection para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a funcionalidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 2.12.2, atualize para a versão 2.12.2 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de acessar e modificar as configurações do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin DN Footer Contacts para WordPress anteriores à 1.6.3 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting. Isso pode ocorrer mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 1.6.3, atualize para a versão 1.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Admin Page Spider para versões do WordPress até a 3.20, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS armazenado) por meio das configurações de administração, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O problema afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado. **Recomendações** Para versões até a 3.20, inclusive, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir as permissões de nível de administrador e habilitar o unfiltered html para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** As versões do plugin “Call Now Button” para WordPress anteriores à 1.4.7 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 1.4.7, atualize para a versão 1.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin AGCA para WordPress anteriores à 7.2.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting. Isso é possível porque algumas configurações não são devidamente sanitizadas e escapadas, e isso pode ocorrer mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 7.2.2, atualize para a versão 7.2.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** The Chat Bubble – Floating Chat com ícones de contato, mensagens, Telegram, e-mail, SMS e o plugin “Call me back” para versões do WordPress até a 2.3, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS armazenado) por meio das configurações de administrador, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O problema afeta apenas instalações multisite e instalações nas quais o unfiltered html foi desativado. **Recomendações** Para versões até a 2.3, inclusive, atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir as permissões de nível de administrador para minimizar o risco de exploração.