Daniel Ruf

Nome do Software Vulnerável e Versões Afetadas: O plugin WordPress The Smooth Gallery Replacement versões 1.0 e anteriores Descrição: O problema está relacionado à falta de verificações de CSRF em algumas áreas do plugin, bem como à ausência de sanitização e escaping. Isso poderia permitir que atacantes fizessem administradores logados inserirem payloads de XSS Armazenado por meio de um ataque CSRF. Recomendações: Para o plugin WordPress The Smooth Gallery Replacement versão 1.0 e anteriores, atualize para uma versão que inclua verificações de CSRF e sanitização adequadas para prevenir a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plugin WordPress aBitGone CommentSafe versões 1.0.0 e anteriores Descrição: O problema refere-se à falta de verificações de CSRF em determinadas áreas, bem como à ausência de sanitização e escape. Isso poderia permitir que atacantes façam com que administradores logados adicionem payloads de Stored XSS por meio de um ataque CSRF. Recomendações: Para as versões 1.0.0 e anteriores, atualize para uma versão que inclua verificações de CSRF e sanitização adequadas para prevenir a exploração. Como solução paliativa temporária, considere restringir o acesso às áreas sensíveis do plugin para minimizar o risco de ataques CSRF.

Nome do Software Vulnerável e Versões Afetadas: Plugin Ntz Antispam para WordPress versões 2.0e e anteriores Descrição: O problema consiste na ausência de verificação de CSRF ao atualizar configurações, o que poderia permitir que atacantes façam um administrador logado alterá-las por meio de um ataque CSRF. Recomendações: Para as versões 2.0e e anteriores do plugin Ntz Antispam para WordPress, considere desabilitar a funcionalidade de atualização de configurações até que uma correção esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite utilizar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plugin WordPress WP-Reply Notify versões 1.1 e anteriores Descrição: O problema está relacionado à falta de uma verificação de CSRF ao atualizar as configurações, o que poderia permitir que atacantes façam com que um administrador logado as altere por meio de um ataque CSRF. Recomendações: Para as versões 1.1 e anteriores do plugin WordPress WP-Reply Notify, considere desativar a funcionalidade de atualização de configurações até que uma correção esteja disponível. Restrinja o acesso ao módulo de atualização de configurações para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Plugin TwitterPosts para WordPress, versões 1.0.0 a 1.0.2 Descrição: O problema está relacionado à ausência de uma verificação CSRF durante a atualização de configurações, o que poderia permitir que atacantes façam com que um administrador autenticado as altere por meio de um ataque CSRF. Recomendações: Para as versões 1.0.0 a 1.0.2 do plugin TwitterPosts para WordPress, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível. Restrinja o acesso ao módulo de atualização de configurações para minimizar o risco de exploração. Evite usar o recurso de atualização de configurações do plugin até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Plugin Widgets Reset para WordPress versões 0.1 e anteriores Descrição: O problema envolve a falta de verificação de CSRF ao atualizar configurações, o que poderia permitir que atacantes façam com que um administrador logado as altere por meio de um ataque CSRF. Recomendações: Para as versões 0.1 e anteriores, como medida paliativa temporária, considere desativar a funcionalidade de atualização de configurações até que uma correção esteja disponível. Restrinja o acesso ao módulo de atualização de configurações para minimizar o risco de exploração. Evite utilizar o endpoint de atualização de configurações vulnerável até que o problema seja resolvido. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões 1.1.9 e anteriores do plugin PeoplePond para WordPress Descrição: O problema refere-se à falta de verificações de CSRF em determinadas áreas, bem como à ausência de sanitização e escape no plugin PeoplePond para WordPress. Isso poderia permitir que atacantes façam com que administradores logados adicionem payloads de XSS Persistente por meio de um ataque CSRF. Recomendações: Para as versões 1.1.9 e anteriores do plugin PeoplePond para WordPress, atualize para uma versão que inclua verificações de CSRF e sanitização e escape adequados para impedir que payloads de XSS Persistente sejam adicionados por meio de ataques CSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: Simple Nav Archives versions 2.1.3 and earlier Description: The issue concerns the lack of a CSRF check when updating settings in the Simple Nav Archives WordPress plugin. This could allow attackers to make a logged-in admin change the settings via a CSRF attack. Recommendations: For Simple Nav Archives versions 2.1.3 and earlier, update to a version that includes a CSRF check to prevent unauthorized changes to the plugin's settings.

Name of the Vulnerable Software and Affected Versions: The Ultimate Noindex Nofollow Tool WordPress plugin versions 1.1.2 and earlier Description: The issue concerns a lack of CSRF check when updating settings, which could allow attackers to make a logged-in admin change them via a CSRF attack. Recommendations: For The Ultimate Noindex Nofollow Tool WordPress plugin versions 1.1.2 and earlier, consider disabling the settings update functionality until a patch is available. Restrict access to the plugin's settings to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Plugin WordPress The Marketing Twitter Bot versões 1.11 e anteriores Descrição: O problema está relacionado à falta de verificação de CSRF em alguns locais, bem como à ausência de sanitização e escape, o que poderia permitir que invasores fizessem administradores logados adicionarem payloads de XSS Armazenado por meio de um ataque CSRF. Recomendações: Para o plugin WordPress The Marketing Twitter Bot versões 1.11 e anteriores, atualize para uma versão que inclua as verificações de CSRF necessárias e sanitização e escape adequados para impedir a adição de payloads de XSS Armazenado.

Nome do Software Vulnerável e Versões Afetadas: Plugin JavaScript Logic para WordPress versões 0.1 e anteriores Descrição: O problema envolve a falta de verificação de CSRF em algumas áreas do plugin, juntamente com a ausência de sanitização e escape. Isso pode permitir que atacantes façam com que administradores logados adicionem payloads de XSS Armazenado por meio de um ataque CSRF. Recomendações: Para as versões 0.1 e anteriores, considere desativar o plugin até que uma correção esteja disponível para prevenir possível exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de ataques CSRF. Evite utilizar o plugin para tarefas administrativas até que o problema seja resolvido.

Name of the Vulnerable Software and Affected Versions: BabelZ WordPress plugin versions 1.1.5 and earlier Description: The issue concerns the lack of CSRF check and missing sanitization as well as escaping in certain areas of the plugin. This could allow attackers to make logged-in admins add Stored XSS payloads via a CSRF attack. Recommendations: For BabelZ WordPress plugin versions 1.1.5 and earlier, update to a version that includes proper CSRF checks and sanitization to prevent potential Stored XSS attacks.

Nome do Software Vulnerável e Versões Afetadas: O plugin WordPress Custom Author Base versões 1.1.1 e anteriores Descrição: O problema está relacionado à falta de uma verificação CSRF ao atualizar as configurações, o que poderia permitir que atacantes façam um administrador logado alterá-las por meio de um ataque CSRF. Recomendações: Para o plugin WordPress Custom Author Base versões 1.1.1 e anteriores, atualize para uma versão que inclua uma verificação CSRF para prevenir tais ataques.

Nome do Software Vulnerável e Versões Afetadas: WordPress/Plugin Upgrade Time Out Plugin versão 1.0 Descrição: O problema refere-se à falta de verificação de CSRF em alguns locais, bem como à ausência de sanitização e escaping, o que poderia permitir que atacantes induzissem administradores logados a adicionar payloads de XSS Armazenado por meio de um ataque CSRF. Recomendações: Para a versão 1.0, considere desabilitar o plugin até que um patch esteja disponível para prevenir possível exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de payloads de XSS Armazenado serem adicionados por atacantes. Evite usar os recursos do plugin que não possuem verificações de CSRF, sanitização e escaping até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin Vikinghammer Tweet para WordPress, versões 0.2.4 e anteriores Descrição: A vulnerabilidade está relacionada à ausência de verificações CSRF em alguns pontos, bem como à falta de sanitização e escapamento, o que poderia permitir que invasores fizessem com que administradores conectados adicionassem cargas de Stored XSS por meio de um ataque CSRF. Isso poderia potencialmente levar à execução de ações maliciosas no site. Recomendações: Para as versões 0.2.4 e anteriores do plugin Vikinghammer Tweet para WordPress, considere desativar o plugin até que um patch esteja disponível para evitar possíveis ataques CSRF e cargas de XSS armazenadas. Restrinja o acesso às áreas administrativas do site para minimizar o risco de exploração. Evite usar a funcionalidade do plugin que permite adicionar conteúdo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin Enhanced Search Box para WordPress, versões 0.6.1 e anteriores Descrição: O problema está relacionado à ausência de uma verificação CSRF ao atualizar configurações, o que poderia permitir que invasores fizessem com que um administrador conectado as alterasse por meio de um ataque CSRF. Recomendações: Para as versões 0.6.1 e anteriores do plugin Enhanced Search Box para WordPress, atualize para uma versão que inclua uma verificação CSRF para impedir alterações não autorizadas nas configurações. Como solução temporária, considere restringir o acesso à funcionalidade de atualização de configurações até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: O plugin “Posts reminder” do WordPress, versões 0.20 e anteriores Descrição: O problema diz respeito à ausência de verificação CSRF ao atualizar as configurações, o que poderia permitir que invasores fizessem com que um administrador conectado as alterasse por meio de um ataque CSRF. Isso poderia potencialmente levar a alterações não autorizadas nas configurações do plugin. Recomendações: Para as versões 0.20 e anteriores, considere desativar temporariamente a funcionalidade de atualização de configurações até que um patch esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o recurso de atualização de configurações do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin “Review Ratings” do WordPress, versões 1.6 e anteriores Descrição: O problema está relacionado à ausência de verificação CSRF em alguns pontos, bem como à falta de sanitização e escapamento, o que poderia permitir que invasores fizessem com que administradores conectados adicionassem cargas de XSS armazenadas por meio de um ataque CSRF. Isso poderia potencialmente levar à execução de ações maliciosas no site. Recomendações: Para as versões 1.6 e anteriores do plugin The Review Ratings para WordPress, atualize para uma versão que inclua verificações CSRF, sanitização e escaping adequadas, a fim de impedir que cargas de Stored XSS sejam adicionadas por meio de um ataque CSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin infolinks Ad Wrap para WordPress, versões 1.0.0 a 1.0.2 Descrição: O problema está relacionado à falta de proteção contra CSRF ao atualizar as configurações no plugin infolinks Ad Wrap para WordPress. Isso poderia permitir que invasores fizessem com que um administrador conectado alterasse as configurações por meio de um ataque CSRF. Recomendações: Para as versões 1.0.0 a 1.0.2, como solução temporária, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: O plugin Visual Sound (antigo) para WordPress, versões 1.06 e anteriores Descrição: O problema está relacionado à ausência de uma verificação CSRF ao atualizar as configurações do plugin, o que poderia permitir que invasores fizessem com que um administrador conectado as alterasse por meio de um ataque CSRF. Essa falha permite que invasores manipulem as configurações do plugin sem o conhecimento ou consentimento do administrador. Recomendações: Para as versões 1.06 e anteriores, atualize para uma versão que inclua uma verificação CSRF ao atualizar as configurações, a fim de prevenir possíveis ataques. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.