Dalii

**Name of the Vulnerable Software and Affected Versions** ApolloTheme AP PageBuilder versions through 2.4.4 **Description** A cross-site scripting (XSS) issue allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the `show number` parameter. **Recommendations** For ApolloTheme AP PageBuilder versions through 2.4.4, consider restricting access to the `show number` parameter to minimize the risk of exploitation until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** NdkAdvancedCustomizationFields versão 3.5.0 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da web ou HTML arbitrários por meio de cargas maliciosas injetadas no parâmetro `htmlNodes`. Isso permite que invasores possam manipular o conteúdo de páginas da web ou roubar dados de usuários. **Recomendações** Para o NdkAdvancedCustomizationFields versão 3.5.0, considere desativar o uso do parâmetro `htmlNodes` até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso às áreas do aplicativo onde esse parâmetro é usado para minimizar o risco de ataques XSS.

**Nome do software vulnerável e versões afetadas** ndk design NdkAdvancedCustomizationFields versão 3.5.0 **Descrição** O problema está relacionado à falsificação de solicitação do lado do servidor (SSRF) por meio do arquivo rotateimg.php. Isso permite um possível acesso não autorizado a recursos internos. **Recomendações** Para o ndk design NdkAdvancedCustomizationFields versão 3.5.0, considere restringir o acesso ao arquivo rotateimg.php como uma solução temporária até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** NdkAdvancedCustomizationFields versão 3.5.0 **Descrição** A vulnerabilidade diz respeito a um problema de Cross Site Scripting (XSS). Ela pode ser explorada por meio do endpoint createPdf.php. **Recomendações** Para a versão 3.5.0, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint createPdf.php até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** NdkAdvancedCustomizationFields versão 3.5.0 **Descrição** Uma vulnerabilidade de injeção de SQL nos parâmetros `height` e `width` permite que invasores não autenticados extraiam dados do banco de dados. **Recomendações** Para o NdkAdvancedCustomizationFields versão 3.5.0, evite usar os parâmetros `height` e `width` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.