D.Sim

**Nome do Software Vulnerável e Versões Afetadas** Animation Addons for Elementor versões anteriores a 2.6.8 **Description** O plugin Animation Addons for Elementor para WordPress contém um problema de Cross-Site Scripting Armazenado Baseado em DOM. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes de múltiplos parâmetros. Atacantes autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. **Recommendations** Atualize o plugin para uma versão posterior a 2.6.7.

**Name of the Vulnerable Software and Affected Versions** Xpro Addons — 140+ Widgets for Elementor plugin for WordPress versions up to and including 1.4.24 **Description** The Xpro Addons — 140+ Widgets for Elementor plugin for WordPress is susceptible to Stored Cross-Site Scripting. This is due to insufficient input sanitization and output escaping on user-supplied attributes within the plugin’s Image Scroller widget, specifically the `box link` attribute. Authenticated attackers with contributor-level access or higher can inject malicious web scripts into pages. These scripts will execute when a user accesses the compromised page. **Recommendations** Update Xpro Addons — 140+ Widgets for Elementor plugin for WordPress to a version later than 1.4.24.

**Name of the Vulnerable Software and Affected Versions** RSS Aggregator plugin for WordPress versions up to and including 5.0.10 **Description** The RSS Aggregator plugin for WordPress is susceptible to Reflected Cross-Site Scripting. This is due to insufficient input sanitization and output escaping on user-supplied attributes within the `template` parameter. This allows unauthenticated attackers to inject arbitrary web scripts into pages. Successful exploitation requires tricking a user into performing an action, such as clicking a link. The vulnerable parameter is `template`. **Recommendations** Update the RSS Aggregator plugin to a version newer than 5.0.10.

**Name of the Vulnerable Software and Affected Versions** Unlimited Elements for Elementor plugin versions up to 2.0.1 **Description** The Unlimited Elements for Elementor plugin for WordPress has a Stored Cross-Site Scripting issue. This is caused by inadequate input sanitization and output escaping of user-provided URLs. An authenticated attacker with Contributor-level access or higher can inject malicious web scripts into pages. These scripts will execute when a user visits the compromised page. The vulnerable component is the Button Link field within the Border Hero widget. **Recommendations** Update the Unlimited Elements for Elementor plugin to a version later than 2.0.1.

**Name of the Vulnerable Software and Affected Versions** WPBITS Addons For Elementor plugin for WordPress versions up to and including 1.8 **Description** The software is susceptible to Stored Cross-Site Scripting due to inadequate input sanitization and output escaping when dynamic content is enabled. This allows authenticated attackers with contributor-level permissions or higher to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the affected page. The issue affects multiple widget parameters. **Recommendations** Update WPBITS Addons For Elementor plugin for WordPress to a version later than 1.8.

**Name of the Vulnerable Software and Affected Versions** Name Directory plugin for WordPress versions through 1.30.3 **Description** The Name Directory plugin for WordPress is susceptible to Stored Cross-Site Scripting. This is due to insufficient input sanitization and output escaping in the `name directory name` and `name directory description` parameters. This allows unauthenticated attackers to inject arbitrary web scripts into pages. When a user accesses an injected page, the scripts will execute. **Recommendations** Update the Name Directory plugin to a version later than 1.30.3.

**Name of the Vulnerable Software and Affected Versions** GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation plugin for WordPress versions through 1.1.7 **Description** The software is susceptible to Stored Cross-Site Scripting due to inadequate input sanitization and output escaping in the chat message field. This allows unauthenticated attackers to inject arbitrary web scripts into pages. These scripts will execute when an administrator accesses the Chat History page. **Recommendations** Update GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation plugin for WordPress to a version later than 1.1.7.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Happy Addons for Elementor até e incluindo a 3.20.3 **Descrição** O plugin Happy Addons for Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado através do parâmetro `ha page custom js`. Sanitização de entrada e escapamento de saída insuficientes permitem que invasores autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página injetada. **Recomendações** As versões do Happy Addons for Elementor anteriores à 3.20.4 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Five Star Restaurant Reservations – WordPress Booking Plugin versões anteriores à 2.7.6 **Descrição** O Five Star Restaurant Reservations – WordPress Booking Plugin para WordPress é suscetível a Cross-Site Scripting Armazenado. Isso se deve à sanitização de entrada e escape de saída inadequados do parâmetro `rtb-name`. Isso permite que atacantes não autenticados injetem scripts web maliciosos em páginas, que serão executados quando um usuário acessar essas páginas. **Recomendações** Atualize o Five Star Restaurant Reservations – WordPress Booking Plugin para a versão 2.7.6 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** O plugin The Better Messages – Live Chat for WordPress, BuddyPress, PeepSo, Ultimate Member, BuddyBoss para WordPress, versões até e incluindo a 2.10.2 **Descrição** O software está suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado devido à sanitização de entrada e escapamento de saída inadequados. Especificamente, o campo de nome de exibição de convidado não é validado corretamente, permitindo que atacantes não autenticados injetem scripts web arbitrários. Esses scripts serão executados quando um usuário acessar uma página injetada. **Recomendações** Atualize o plugin The Better Messages – Live Chat for WordPress, BuddyPress, PeepSo, Ultimate Member, BuddyBoss para WordPress para uma versão posterior à 2.10.2.

**Nome do Software Vulnerável e Versões Afetadas** All-in-One Addons for Elementor – WidgetKit versões anteriores à 2.5.7 **Descrição** O plugin All-in-One Addons for Elementor – WidgetKit para WordPress possui uma falha que permite que código malicioso seja armazenado e executado quando um usuário visualiza uma página contendo o código injetado. Isso impacta os widgets Team e Countdown devido ao tratamento inadequado de dados fornecidos pelo usuário, especificamente sanitização de entrada e escape de saída insuficientes dos atributos fornecidos pelo usuário. Um atacante com acesso de nível de contribuidor ou superior pode injetar scripts web arbitrários nas páginas. Esses scripts serão então executados nos navegadores dos usuários que acessarem as páginas afetadas. **Recomendações** Atualize o All-in-One Addons for Elementor – WidgetKit para a versão 2.5.7 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Livemesh SiteOrigin Widgets para WordPress versões anteriores à 3.9.2 **Descrição** O plugin Livemesh SiteOrigin Widgets para WordPress está suscetível a Cross-Site Scripting Armazenado através dos widgets Hero Header e Pricing Table. A sanitização insuficiente de entrada e o escape de saída inadequado de atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin Livemesh SiteOrigin Widgets para a versão 3.9.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin MarqueeAddons para WordPress versões até a 2.4.3 **Descrição** O plugin MarqueeAddons para WordPress está suscetível a Cross-Site Scripting Armazenado (Stored XSS) através do widget Testimonial Marquee. A sanitização insuficiente de entrada e o escape de saída em atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página injetada. **Recomendações** Atualize o plugin MarqueeAddons para uma versão posterior à 2.4.3.

**Nome do Software Vulnerável e Versões Afetadas** Plugin King Addons for Elementor para WordPress versões até a 51.1.39 **Descrição** O plugin King Addons for Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado. Isso se deve à sanitização inadequada de entrada e escape de saída em atributos fornecidos pelo usuário dentro dos widgets Pricing Slider, Pricing Calculator e Image Accordion. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin King Addons for Elementor para uma versão posterior à 51.1.39.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Enter Addons para WordPress versões até a 2.2.7 **Descrição** O plugin Enter Addons para WordPress está vulnerável a Cross-Site Scripting Armazenado através dos widgets Countdown e Image Comparison. Isso se deve à sanitização de entrada e escape de saída inadequados dos atributos fornecidos pelo usuário. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin Enter Addons para uma versão superior à 2.2.7.

**Nome do Software Vulnerável e Versões Afetadas** Plugin JetWidgets For Elementor para WordPress versões anteriores à 1.0.21 **Descrição** O plugin JetWidgets For Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado através dos widgets Image Comparison e Subscribe. A sanitização de entrada e o escape de saída insuficientes em atributos fornecidos pelo usuário permitem que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin JetWidgets For Elementor para a versão 1.0.21 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Gutenify – Plugin Visual Site Builder Blocks & Site Templates para WordPress, versões até e incluindo 1.5.9 **Descrição** O plugin Gutenify para WordPress está suscetível a Cross-Site Scripting (XSS) Armazenado. Isso se deve à sanitização de entrada e ao escape de saída inadequados de atributos fornecidos pelo usuário dentro dos atributos de bloco do plugin. Atacantes autenticados com acesso de nível de colaborador ou superior podem injetar scripts web maliciosos nas páginas. Esses scripts serão executados sempre que um usuário acessar a página comprometida. **Recomendações** Atualize o plugin Gutenify – Visual Site Builder Blocks & Site Templates para uma versão superior à 1.5.9.

**Nome do Software Vulnerável e Versões Afetadas** Plugin RTMKit Addons for Elementor para WordPress versões até e incluindo a 1.6.1 **Descrição** O plugin RTMKit Addons for Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado. Isso ocorre através de sanitização de entrada e escape de saída insuficientes em atributos fornecidos pelo usuário dentro do Bloco de Acordeão do plugin. Atacantes autenticados com acesso de nível de colaborador ou superior podem injetar scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar a página afetada. **Recomendações** Atualize o plugin RTMKit Addons for Elementor para uma versão posterior à 1.6.1.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Element Pack Addons for Elementor para WordPress, versões até e incluindo a 8.3.4 **Descrição** O plugin Element Pack Addons for Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado através do parâmetro de conteúdo do marcador do widget Open Street Map. Isso é resultado de uma sanitização de entrada e escape de saída inadequados dos atributos fornecidos pelo usuário dentro da função de renderização. Atacantes autenticados com acesso de nível de contribuidor ou superior podem injetar scripts web arbitrários nas páginas, que serão executados quando um usuário acessar a página afetada. **Recomendações** Atualize o plugin Element Pack Addons for Elementor para WordPress para uma versão superior à 8.3.4.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Testimonial Carousel For Elementor para WordPress versões anteriores à 11.6.3 **Descrição** O plugin Testimonial Carousel For Elementor para WordPress está suscetível a Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída inadequados. Isso permite que atacantes autenticados com acesso de nível de colaborador ou superior injetem scripts web maliciosos em páginas. Esses scripts serão executados sempre que um usuário acessar a página comprometida. O problema afeta múltiplos parâmetros. **Recomendações** Atualize o plugin Testimonial Carousel For Elementor para a versão 11.6.3 ou posterior.