Dhabaleshwar Das

**Nome do Software Vulnerável e Versões Afetadas** VikRestaurants Table Reservations and Take-Away versões 1.3.3 e anteriores **Descrição** O problema é uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a execução de Cross-Site Request Forgery. **Recomendações** Para as versões 1.3.3 e anteriores, atualize para uma versão que contenha uma correção para este problema; no entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema. Como medida de contorno temporária, considere implementar medidas de proteção CSRF para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Chat2 versões anteriores à 3.6.3 Descrição: O problema está relacionado a uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), que permite que ações não autorizadas sejam executadas em nome de um usuário. Recomendações: Para versões anteriores à 3.6.3, atualize para uma versão que inclua a correção para este problema. Como solução temporária, considere implementar validação adicional nas solicitações para prevenir ações não autorizadas.

Name of the Vulnerable Software and Affected Versions: WordPress Events Calendar Plugin – connectDaily versions 1.4.8 and earlier Description: The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability that also allows Cross-Site Scripting (XSS) in the WordPress Events Calendar Plugin – connectDaily. Recommendations: For WordPress Events Calendar Plugin – connectDaily versions 1.4.8 and earlier, update to a version that contains a fix for this issue.

Nome do Software Vulnerável e Versões Afetadas: Versões do REVE Chat de n/a até 6.2.2 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF) e XSS Armazenado no REVE Chat. Recomendações: Para as versões de n/a até 6.2.2, atualize para uma versão que contenha a correção para este problema. Como medida paliativa temporária, considere restringir o acesso a funcionalidades sensíveis que possam ser exploradas por meio de ataques CSRF ou XSS Armazenado até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Ateeq Rafeeq RepairBuddy versions n/a through 3.8211 **Description** The issue is related to a Missing Authorization vulnerability, which allows exploiting incorrectly configured access control security levels. **Recommendations** For versions n/a through 3.8211, update to a version that addresses the Missing Authorization vulnerability. As a temporary workaround, consider restricting access to sensitive areas of the application to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Astra Security Suite versões 0.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Ausência de Autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para o Astra Security Suite versões 0.2 e anteriores, atualize para uma versão que inclua os patches de segurança necessários para corrigir a vulnerabilidade de Ausência de Autorização. Como medida de contorno temporária, considere restringir o acesso a áreas sensíveis do Astra Security Suite para minimizar o risco de exploração devido a níveis de segurança de controle de acesso configurados incorretamente.

**Nome do Software Vulnerável e Versões Afetadas** DesignO versões n/a até 2.2.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a execução de Cross-Site Request Forgery. Este é um tipo de ataque onde um invasor pode induzir um usuário a realizar ações não intencionais em uma aplicação web na qual o usuário está autenticado. **Recomendações** Para as versões n/a até 2.2.0, considere implementar a validação adequada de tokens CSRF para prevenir solicitações não autorizadas. Como medida de contorno temporária, restrinja o acesso a funcionalidades sensíveis que possam ser exploradas através de ataques CSRF até que uma correção adequada seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Apimo Connector versões n/d até 2.6.3.1 **Descrição** O problema está relacionado a uma falha de Cross-Site Request Forgery (CSRF), que permite a execução de Cross-Site Request Forgery. **Recomendações** Para as versões n/d até 2.6.3.1, atualize para uma versão posterior à 2.6.3.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Appointy Appointment Scheduler versões n/a até 4.2.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a realização de Cross Site Request Forgery. Isso significa que um atacante pode induzir um usuário a executar ações não intencionais na aplicação web. **Recomendações** Para o Appointy Appointment Scheduler versões n/a até 4.2.1, atualize para uma versão superior à 4.2.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** VikBooking Hotel Booking Engine & PMS versões 1.7.2 e anteriores **Descrição** O problema afeta os níveis de segurança de controle de acesso no VikBooking Hotel Booking Engine & PMS, permitindo exploração devido a níveis de segurança configurados incorretamente. Isso está relacionado a uma vulnerabilidade de Missing Authorization. **Recomendações** Para as versões 1.7.2 e anteriores, atualize para uma versão que inclua os patches de segurança necessários para corrigir a vulnerabilidade de Missing Authorization. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O plugin Estatebud – Properties & Listings para WordPress, versões até e incluindo a 5.5.0 **Descrição** O problema está relacionado à Falsificação de Solicitação Entre Sites (Cross-Site Request Forgery) devido à validação de nonce ausente ou incorreta na página 'estatebud settings'. Isso permite que atacantes não autenticados atualizem as configurações do plugin por meio de uma solicitação forjada, caso consigam enganar um administrador do site para realizar uma ação específica, como clicar em um link. **Recomendações** Para versões até e incluindo a 5.5.0, atualize para uma versão que inclua a correção para o problema de validação de nonce na página 'estatebud settings' para prevenir ataques de Falsificação de Solicitação Entre Sites.

**Nome do Software Vulnerável e Versões Afetadas** Plugin oficial RateMyAgent para WordPress versões até e incluindo a 1.4.0 **Descrição** O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta no 'rma-settings-wizard'. Isso permite que atacantes não autenticados atualizem a chave de API do plugin por meio de uma solicitação forjada, caso consigam induzir um administrador do site a executar uma ação específica. **Recomendações** Para versões até e incluindo a 1.4.0, atualize para uma versão que inclua validação de nonce adequada para prevenir ataques de Falsificação de Solicitação Entre Sites. Como medida temporária, considere restringir o acesso ao 'rma-settings-wizard' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin SakolaWP para WordPress versões anteriores à 1.0.9 **Descrição** O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta nas ações `save exam setting` e `delete exam setting`. Isso permite que atacantes não autenticados atualizem as configurações do exame enganando um administrador do site para realizar uma ação, como clicar em um link, por meio de uma requisição forjada. **Recomendações** Para o plugin SakolaWP para WordPress versões anteriores à 1.0.9, atualize para a versão 1.0.9 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às ações `save exam setting` e `delete exam setting` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin SpeedSize Image & Video AI-Optimizer para WordPress, versões até e incluindo a 1.5.1 **Descrição** O problema deve-se à validação de nonce ausente ou incorreta na função `speedsize clear css cache action`, o que torna possível que atacantes não autenticados limpem o cache do plugin por meio de uma requisição forjada. Isso pode ser conseguido se os atacantes conseguirem enganar um administrador do site para realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 1.5.1, considere desativar a função `speedsize clear css cache action` até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade de gerenciamento de cache do plugin para minimizar o risco de limpeza de cache por partes não autorizadas. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Mortgage Lead Capture System plugin for WordPress versions up to, and including, 8.2.10 **Description** The issue is related to Cross-Site Request Forgery due to missing or incorrect nonce validation on the `wprequal reset defaults` action. This allows unauthenticated attackers to reset the plugin's settings by tricking a site administrator into performing an action, such as clicking on a link. **Recommendations** For Mortgage Lead Capture System plugin for WordPress versions up to, and including, 8.2.10: Update to a version later than 8.2.10 to resolve the issue. As a temporary workaround, consider restricting access to the `wprequal reset defaults` action to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Houzez Property Feed para WordPress nas versões até e incluindo a 2.4.21 **Descrição** O problema ocorre devido à validação de nonce ausente ou incorreta na ação `deleteexport`, o que possibilita que atacantes não autenticados excluam exports de feed de propriedades por meio de uma requisição forjada. Isso pode ser logrado induzindo um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 2.4.21, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na ação `deleteexport`. Como medida de contorno temporária, considere restringir o acesso à ação `deleteexport` para impedir que atacantes não autenticados excluam exports de feed de propriedades.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Linear para WordPress versões até a 2.8.1, inclusive **Descrição** O problema ocorre devido à validação ausente ou incorreta de nonce no recurso `linear-debug`, permitindo que atacantes não autenticados redefinam o cache do plugin por meio de uma requisição forjada, caso consigam enganar um administrador do site para realizar uma ação específica, como clicar em um link. **Recomendações** Para versões até a 2.8.1, inclusive, considere desativar o recurso `linear-debug` até que um patch esteja disponível para prevenir exploração. Restrinja o acesso à funcionalidade de redefinição de cache do plugin Linear para minimizar o risco de exploração. Evite usar o recurso `linear-debug` no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** G5Theme Essential Real Estate versões 5.1.8 e anteriores **Descrição** Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) afeta o software, permitindo que ações não autorizadas sejam executadas em nome de um usuário. **Recomendações** Para as versões 5.1.8 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não há nenhuma solução alternativa específica fornecida para estas versões. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Automate Hub Free da Sperse.IO para WordPress, versões até e incluindo a 1.7.0 **Descrição** O problema deve-se à validação de nonce ausente ou incorreta na página 'automate hub', o que torna possível para atacantes não autenticados atualizar um status de ativação por meio de uma requisição forjada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. Isso permite que atacantes manipulem as configurações do site sem autorização. **Recomendações** Para o plugin Automate Hub Free da Sperse.IO para WordPress, versões até e incluindo a 1.7.0, atualize para uma versão superior à 1.7.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à página 'automate hub' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** VikAppointments Services Booking Calendar versões 1.2.16 e anteriores **Descrição** A vulnerabilidade está relacionada à neutralização inadequada de entrada durante a geração da página web, o que permite Cross-site Scripting (XSS) armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, potencialmente afetando usuários que acessam a página comprometida. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações fornecidas sobre incidentes reais onde essa vulnerabilidade foi explorada. **Recomendações** Para as versões 1.2.16 e anteriores, atualize para uma versão posterior à 1.2.16 para resolver a vulnerabilidade. Como medida temporária, considere restringir o acesso ao módulo de calendário vulnerável até que um patch esteja disponível. Evite usar a funcionalidade de calendário vulnerável nas versões afetadas até que a vulnerabilidade seja resolvida.