Cyc707

**Nome do software vulnerável e versões afetadas** As versões do plugin Pinpoint Booking System para WordPress anteriores à 2.9.9.4.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting. Isso pode ocorrer mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 2.9.9.4.8, atualize para a versão 2.9.9.4.8 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões anteriores à 1.6.8 **Descrição** A falha permite que um usuário autenticado com privilégios de assinante ou superiores contorne a autorização e acesse configurações às quais não deveria ter acesso. Isso ocorre porque é permitido o acesso direto aos menus. **Recomendações** Para versões anteriores à 1.6.8, atualize para a versão 1.6.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin VikBooking Hotel Booking Engine & PMS para WordPress para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.6.8 do plugin VikBooking Hotel Booking Engine & PMS para WordPress **Descrição** O mecanismo de controle de acesso do plugin VikBooking Hotel Booking Engine & PMS para WordPress não restringe adequadamente o acesso às suas configurações. Isso permite que qualquer usuário com acesso a um menu manipule solicitações e execute ações não autorizadas, como editar, renomear ou excluir categorias, apesar das configurações iniciais proibirem tal acesso. Esse problema se assemelha a uma falha no controle de acesso, permitindo que usuários não autorizados modifiquem configurações críticas. **Recomendações** Para versões anteriores à 1.6.8, atualize para a versão 1.6.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao menu de configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin GamiPress para WordPress anteriores à 6.8.9 **Descrição** O mecanismo de controle de acesso do plugin GamiPress para WordPress não restringe adequadamente o acesso às suas configurações. Isso permite que os autores manipulem solicitações e concedam acesso a usuários com privilégios inferiores, como assinantes, apesar das configurações iniciais proibirem tal acesso. O problema se assemelha a uma falha no controle de acesso, permitindo que usuários não autorizados modifiquem configurações críticas do plugin. **Recomendações** Para versões anteriores à 6.8.9, atualize para a versão 6.8.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin do WordPress “Salon booking system” até a 9.6.5 **Descrição** O problema diz respeito à falta de sanitização e escapamento de algumas configurações no plugin, o que poderia permitir que usuários com privilégios elevados, como Editores, realizassem ataques de Stored Cross-Site Scripting. Isso é possível mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões até a 9.6.5, atualize para uma versão que corrija esse problema a fim de prevenir ataques de Stored Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 9.6.3 do plugin WordPress do sistema de agendamento de salões de beleza **Descrição** O problema decorre da sanitização e do escape inadequados do campo `Mobile Phone` e do parâmetro `sms prefix` ao agendar um horário, permitindo que os clientes realizem ataques de Stored Cross-Site Scripting. A carga maliciosa é acionada quando um administrador acessa a página “Agendamentos” e o script malicioso é executado no contexto de administrador. **Recomendações** Para versões anteriores à 9.6.3, atualize para a versão 9.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página “Agendamentos” para administradores até que a atualização seja aplicada. Evite usar o parâmetro `sms prefix` no processo de agendamento até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin My Calendar para WordPress anteriores à 3.4.24 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto “Assinante” realizem ataques de Cross-Site Scripting, dependendo das permissões definidas pelo administrador. Isso ocorre porque o plugin não sanitiza nem escapa alguns parâmetros. **Recomendações** Para versões anteriores à 3.4.24, atualize para a versão 3.4.24 ou posterior para resolver o problema. Como solução temporária, considere restringir as permissões da função de Assinante para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Jobs for WordPress anteriores à 2.7.4 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador realizem ataques de Stored Cross-Site Scripting, devido ao fato de o plugin não sanitizar e escapar alguns parâmetros. **Recomendações** Para versões anteriores à 2.7.4, atualize para a versão 2.7.4 ou posterior para resolver o problema. Como solução temporária, considere restringir as funções que podem acessar a funcionalidade do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Spiffy Calendar para WordPress anteriores à 4.9.9 **Descrição** A falha permite que qualquer usuário altere o parâmetro `event author` ao criar um evento, levando a uma falsa impressão de que a página foi criada por um usuário com permissão de Colaborador+. **Recomendações** Para versões anteriores à 4.9.9, atualize para a versão 4.9.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à criação de eventos apenas a usuários confiáveis até que a atualização seja aplicada.