David Hamann

**Nome do software vulnerável e versões afetadas** Versões do plugin myCred para WordPress anteriores à 2.4.3.1 **Descrição** O problema diz respeito à ausência de verificações de autorização e CSRF na ação AJAX `mycred-tools-import-export`. Isso permite que qualquer usuário autenticado chame a ação e recupere a lista de endereços de e-mail presentes no blog. **Recomendações** Para versões anteriores à 2.4.3.1, atualize para a versão 2.4.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX `mycred-tools-import-export` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Safe SVG para WordPress anteriores à 1.9.10 **Descrição** A etapa de sanitização do plugin Safe SVG para WordPress pode ser contornada falsificando o `content-type` na solicitação POST para fazer upload de um arquivo, permitindo que um invasor execute ataques que o plugin deveria impedir, principalmente XSS, mas potencialmente outros ataques XML, dependendo do uso posterior dos arquivos SVG enviados. **Recomendações** Para versões anteriores à 1.9.10, atualize para a versão 1.9.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos SVG ou desativar o plugin até que um patch esteja disponível. Evite usar o plugin vulnerável para fazer upload de arquivos SVG até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Claris FileMaker Pro e Server (incluindo WebDirect) em versões anteriores à 19.4.1 Descrição: A vulnerabilidade permite que um invasor remoto divulgue arquivos locais por meio de um documento XML/Excel malicioso e execute ataques de falsificação de solicitação no lado do servidor. Recomendações: Para versões anteriores à 19.4.1, atualize para a versão 19.4.1 ou posterior para resolver o problema.