Dimas Maulana

**Name of the Vulnerable Software and Affected Versions** My Sticky Bar versions up to and including 2.8.6 **Description** The My Sticky Bar plugin for WordPress is susceptible to SQL injection through the `stickymenu contact lead form` AJAX action. This occurs because the handler directly uses attacker-controlled POST parameter names as SQL column identifiers within the `$wpdb->insert()` function. While parameter values are sanitized using `esc sql()` and `sanitize text field()`, the parameter keys are used without modification when constructing the column list in the INSERT statement. This allows unauthenticated attackers to inject SQL code through crafted parameter names, potentially enabling blind time-based data extraction from the database. The **API Endpoint** involved is `stickymenu contact lead form`. The vulnerable component utilizes POST parameters, where the parameter names are directly used as SQL column identifiers. **Recommendations** Versions up to and including 2.8.6 should be updated to a newer, fixed version if available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do Geo Mashup até a 1.13.16 Descrição: Existe uma falha no tratamento do controle de nome de arquivo para comandos include/require dentro de um programa PHP, especificamente uma vulnerabilidade de Inclusão Local de Arquivos em PHP no Dylan Kuhn Geo Mashup. Isso permite a inclusão local de arquivos em PHP. Recomendações: Atualize o Geo Mashup para uma versão superior à 1.13.16.

**Nome do Software Vulnerável e Versões Afetadas** WPoperation Arrival versões 1.4.5 e anteriores **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como vulnerabilidade de 'Inclusão Remota de Arquivos PHP'. Isso permite a Inclusão Local de Arquivos PHP. **Recomendações** Para as versões 1.4.5 e anteriores do WPoperation Arrival, atualize para uma versão que corrija este problema, pois a versão atual é afetada pela vulnerabilidade de Inclusão Local de Arquivos PHP. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Checkout Field Visibility for WooCommerce versões 1.2.3 e anteriores **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos PHP'. Isso permite a Inclusão Local de Arquivos PHP. **Recomendações** Para as versões 1.2.3 e anteriores, atualize para uma versão que corrija este problema, pois a versão atual é afetada pela vulnerabilidade de Inclusão Local de Arquivos PHP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CWW Portfolio versões 1.3.1 e anteriores **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos PHP' (PHP Remote File Inclusion), o que permite a Inclusão Local de Arquivos PHP (PHP Local File Inclusion). Isso significa que um atacante poderia potencialmente incluir e executar arquivos locais no servidor, levando a acesso não autorizado ou execução de código. **Recomendações** Para as versões 1.3.1 e anteriores, atualize para uma versão que corrija este problema, pois o uso de versões vulneráveis pode permitir acesso não autorizado ou execução de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ACF: Google Font Selector versões 3.0.1 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, o que permite cross-site scripting (XSS) refletido. Isso pode ser explorado por meio do ACF: Google Font Selector, permitindo que atacantes injetem scripts maliciosos em páginas web. **Recomendações** Para o ACF: Google Font Selector versões 3.0.1 e anteriores, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** cedcommerce Product Lister for eBay versões n/a até 2.0.9 **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos PHP', que permite a Inclusão Local de Arquivos PHP. Este é um tipo de vulnerabilidade de segurança que pode ser explorado manipulando o parâmetro de nome de arquivo em declarações include ou require, potencialmente levando à execução de código malicioso. **Recomendações** Para as versões n/a até 2.0.9, atualize para uma versão posterior à 2.0.9 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Holest Engineering Spreadsheet Price Changer for WooCommerce and WP E-commerce – Versões Light até a 2.4.37 **Descrição** O problema está relacionado ao Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos em PHP' (PHP Remote File Inclusion), que permite a Inclusão Local de Arquivos em PHP (PHP Local File Inclusion). **Recomendações** Para versões até a 2.4.37, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** everestthemes Grace Mag versões 1.1.5 e anteriores **Descrição** O problema afeta o everestthemes Grace Mag, permitindo Inclusão de Arquivo Local em PHP devido ao controle inadequado do nome do arquivo para a instrução include/require no programa PHP, também conhecido como 'Inclusão de Arquivo Remoto em PHP'. **Recomendações** Para as versões 1.1.5 e anteriores, atualize para uma versão que corrija este problema, pois a versão atual permite Inclusão de Arquivo Local em PHP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Anything Popup versões n/a até 7.3 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting. Isso permite XSS Refletido, onde um atacante pode injetar scripts maliciosos em um site. **Recomendações** Para as versões n/a até 7.3, atualize para uma versão que corrija o problema de Cross-site Scripting para prevenir ataques de XSS Refletido. Como solução alternativa temporária, considere restringir a entrada do usuário para prevenir que scripts maliciosos sejam injetados na página web. Evite usar o Anything Popup até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Xews Lite versions 1.0.9 and earlier **Description** The issue is related to an Improper Control of Filename for Include/Require Statement in PHP Program, also known as 'PHP Remote File Inclusion' vulnerability. This allows PHP Local File Inclusion. **Recommendations** For Xews Lite versions 1.0.9 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** WPoperation Opstore versions 1.4.5 and earlier **Description** The issue is related to an Improper Control of Filename for Include/Require Statement in PHP Program, also known as 'PHP Remote File Inclusion' vulnerability. This allows PHP Local File Inclusion in WPoperation Opstore. **Recommendations** For WPoperation Opstore versions 1.4.5 and earlier, update to a version that fixes this issue, as no specific workaround is provided for these versions. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** License For Envato versões 1.0.0 e anteriores **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos em PHP' ou 'Inclusão Local de Arquivos em PHP'. Isso permite que um atacante inclua potencialmente arquivos maliciosos, o que poderia levar à execução de código ou outros problemas de segurança. **Recomendações** Para as versões 1.0.0 e anteriores, considere restringir o acesso a arquivos e diretórios sensíveis para minimizar o risco de exploração, como uma solução temporária, até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Capturly n/a até 2.0.1 **Descrição** O problema está relacionado ao Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como vulnerabilidade de 'Inclusão Remota de Arquivos PHP'. Isso permite a Inclusão Local de Arquivos PHP no Capturly. **Recomendações** Para as versões n/a até 2.0.1, atualize para uma versão que corrija o problema de Controle Impróprio de Nome de Arquivo para Declaração Include/Require para prevenir a Inclusão Local de Arquivos PHP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** arete-it Activity Reactions For Buddypress versões 1.0.0 até 1.0.22 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Refletido. Isso permite que potenciais atacantes injetem scripts maliciosos em páginas web. **Recomendações** Para arete-it Activity Reactions For Buddypress versões 1.0.0 até 1.0.22, atualize para uma versão posterior à 1.0.22 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade específica.

**Nome do Software Vulnerável e Versões Afetadas** teamzt Smart Agreements versões 1.0.3 e anteriores **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como vulnerabilidade de 'Inclusão Remota de Arquivos PHP', que permite a Inclusão Local de Arquivos PHP. **Recomendações** Para as versões 1.0.3 e anteriores do teamzt Smart Agreements, atualize para uma versão posterior à 1.0.3 para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos PHP vulneráveis para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Zephyr Project Manager versões n/a até 3.3.101 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Páginas Web, também conhecida como 'Cross-site Scripting', que permite XSS Refletido. Isso significa que um atacante pode injetar scripts maliciosos em um site, potencialmente roubando dados do usuário ou assumindo o controle de sessões do usuário. **Recomendações** Para as versões n/a até 3.3.101, atualize para uma versão que corrija o problema de Neutralização Imprópria de Entrada Durante a Geração de Páginas Web para prevenir ataques de XSS Refletido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** wecantrack Affiliate Links Lite versions 3.1.0 and earlier **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, which allows Reflected XSS. This means an attacker can inject malicious scripts into a website, potentially stealing user data or taking control of user sessions. **Recommendations** For wecantrack Affiliate Links Lite versions 3.1.0 and earlier, update to a version later than 3.1.0 to resolve the issue. At the moment, there is no information about additional mitigation measures for this specific vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** AdminQuickbar versões 1.9.1 e anteriores **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Refletido. Isso permite que potenciais atacantes injetem scripts maliciosos em páginas web. **Recomendações** Para as versões 1.9.1 e anteriores do AdminQuickbar, atualize para uma versão que inclua uma correção para este problema, pois nenhuma solução alternativa específica é fornecida.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Docket Cache até a 24.07.02 **Descrição** O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Instrução Include/Require em Programa PHP, também conhecido como vulnerabilidade de 'Inclusão Remota de Arquivos PHP'. Esta vulnerabilidade permite a Inclusão Local de Arquivos PHP. **Recomendações** Para versões até a 24.07.02, atualize para uma versão que corrija a vulnerabilidade de Controle Impróprio de Nome de Arquivo para Instrução Include/Require em Programa PHP para prevenir a Inclusão Local de Arquivos PHP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.