Dmitry Ignatyev

The WooCommerce Stripe Payment Gateway plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the `ajax pay for order()` function in all versions up to, and including, 10.7.0 This is due to a missing order ownership or order key verification when processing payment for an order via the `wc stripe pay for order` WC-AJAX endpoint. The function only validates a nonce (which is publicly available on any WooCommerce page where Express Checkout is enabled), but does not verify that the requesting user owns the target order and is allowed to modify it. This makes it possible for unauthenticated attackers to force any pending order into a failed status by providing a fake payment method, causing a payment exception that updates the order status to "failed" via sequential order ID enumeration.

**Nome do Software Vulnerável e Versões Afetadas** FooGallery versões anteriores a 3.1.32 **Description** O plugin FooGallery para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque a função `foogallery sanitize javascript()` utiliza uma lista negra incompleta de manipuladores de eventos JavaScript, bloqueando apenas um subconjunto específico (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) enquanto permite outros como `onmouseenter`. Além disso, a função `foogallery build container attributes safe()` falha ao escapar a chave do atributo ao construir o HTML do contêiner da galeria. Atacantes autenticados com nível de acesso de contribuidor ou superior podem explorar o parâmetro de shortcode `custom attribute key` para injetar scripts web arbitrários que são executados quando um usuário visita a página afetada. **Recommendations** Atualize para uma versão posterior a 3.1.31. Como medida paliativa temporária, restrinja o uso do parâmetro de shortcode `custom attribute key` por usuários com nível de acesso de contribuidor.

**Nome do Software Vulnerável e Versões Afetadas** Presto Player versões anteriores a 4.2.1 **Description** O plugin Presto Player para WordPress contém um problema de Stored Cross-Site Scripting. A função `getOverlays()` não sanitiza adequadamente a entrada nem escapa a saída, permitindo que o parâmetro `link url` do shortcode `[presto player overlay]` seja copiado diretamente para a configuração de sobreposição sem validação de esquema. Isso permite que URIs `javascript:` sejam renderizadas como o href de um elemento âncora clicável pelo componente web presto-dynamic-overlay-ui. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários que são executados quando um usuário visita a página afetada. **Recommendations** Atualize para uma versão posterior a 4.2.0. Como medida paliativa temporária, restrinja o uso do parâmetro `link url` dentro do shortcode `[presto player overlay]`.

**Nome do Software Vulnerável e Versões Afetadas** All-In-One Security (AIOS) – Security and Firewall plugin for WordPress versões anteriores a 5.4.8 **Description** Ocorre Cross-Site Scripting (XSS) Armazenado devido à sanitização insuficiente de entrada na função `get rest route()` e à falta de escape de saída no método `column default()` da tabela de lista de logs de depuração. Quando o recurso 'Disable REST API for non-logged in users' (`aiowps disallow unauthorized rest requests`) e o log de depuração (`aiowps enable debug`) estão ambos ativados, um invasor não autenticado pode incorporar HTML ou JavaScript arbitrário no caminho da requisição REST. O caminho é recuperado via `urldecode($ SERVER['REQUEST URI'])`, que decodifica payloads em caracteres HTML literais. Este valor não sanitizado é armazenado no banco de dados e posteriormente executado na sessão do navegador de um administrador quando este visualiza a página de Logs de Depuração do Painel AIOS. Isso pode levar ao roubo de nonces, ações AJAX/REST privilegiadas e comprometimento total do site. **Recommendations** Atualize o plugin para uma versão posterior a 5.4.7. Como medida paliativa temporária, desative o log de depuração `aiowps enable debug` ou o recurso `aiowps disallow unauthorized rest requests` para evitar o armazenamento e a execução de scripts maliciosos.

The Easy Updates Manager plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'paged' parameter in versions up to, and including, 9.0.20 This is due to insufficient input sanitization and output escaping in the pagination() function. This makes it possible for attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page granted they can trick an administrator into performing an action such as clicking on a link.

The PDF Embedder plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 4.9.3 via the enqueue block assets. This makes it possible for authenticated attackers, with contributor-level access and above, to extract configuration data. License key exposure occurs when the premium add-on is also installed and has saved a key; on Lite-only installations, the exposed data is limited to non-sensitive viewer configuration values such as width, height, toolbar settings, usage tracking, and plan.

**Nome do Software Vulnerável e Versões Afetadas** WooCommerce PayPal Payments versões anteriores a 4.0.2 **Descrição** A ausência de verificações de autorização nos endpoints WC-AJAX 'ppc-create-order' e 'ppc-get-order' permite a manipulação não autorizada de pedidos e a divulgação de informações. O endpoint 'ppc-create-order' aceita um ID de pedido do WooCommerce arbitrário através do contexto `pay-now` sem validar a propriedade do pedido, permitindo que atacantes criem pedidos no PayPal para qualquer pedido do WooCommerce e escrevam metadados do PayPal nele. Além disso, o endpoint 'ppc-get-order' retorna detalhes completos do pedido do PayPal para qualquer ID de pedido do PayPal sem vinculação à sessão do solicitante. Atacantes não autenticados podem encadear esses endpoints para manipular fluxos de pagamento de outros clientes e exfiltrar dados sensíveis, incluindo informações do pagador e dados de envio. **Recomendações** Atualize para uma versão posterior à 4.0.1. Como medida paliativa temporária, restrinja o acesso aos endpoints 'ppc-create-order' e 'ppc-get-order' para minimizar o risco de exploração.

The Creative Mail – Easier WordPress & WooCommerce Email Marketing plugin for WordPress is vulnerable to SQL Injection via the 'checkout uuid' parameter in all versions up to, and including, 1.6.9. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query in the `has checkout consent()` method. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.

The MapGeo – Interactive Geo Maps plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'map' parameter in the display-map shortcode in all versions up to, and including, 1.6.27 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

**Nome do Software Vulnerável e Versões Afetadas** Hostinger Reach – AI-Powered Email Marketing for WordPress versões anteriores a 1.3.9 **Descrição** O plugin Hostinger Reach – AI-Powered Email Marketing for WordPress permite a modificação não autorizada de dados porque a função `handle ajax action()` carece de uma verificação de capacidade. Usuários autenticados com nível de acesso Assinante (Subscriber) ou superior podem utilizar a ação 'hostinger reach connection notice action' para atualizar a chave de API armazenada no banco de dados. Este problema pode ser explorado apenas se o plugin não estiver conectado a um site e nenhuma chave de API existir no banco de dados. **Recomendações** Atualize para uma versão posterior a 1.3.8.

**Nome do Software Vulnerável e Versões Afetadas** MonsterInsights – Google Analytics Dashboard for WordPress versões anteriores a 10.1.3 **Descrição** A ausência de verificações de capacidade nas funções `get ads access token()` e `reset experience()` permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior recuperem tokens de acesso Google OAuth ativos e redefinam a integração do Google Ads. **Recomendações** Atualize para uma versão posterior a 10.1.2. Como medida paliativa temporária, restrinja o acesso às funções `get ads access token()` e `reset experience()` para minimizar o risco de acesso e modificação não autorizados de dados.

**Nome do Software Vulnerável e Versões Afetadas** Royal Elementor Addons versões anteriores a 1.7.1058 **Descrição** O plugin Royal Elementor Addons para WordPress contém um problema de Server-Side Request Forgery (SSRF). Isso ocorre porque a função `render csv data()` não valida adequadamente as URLs fornecidas pelo usuário, o que pode ser burlado ao incluir 'docs.google.com/spreadsheets' em um parâmetro de consulta. Essas URLs são então usadas em chamadas `fopen()` sem o bloqueio de endereços de rede internos ou privados. Atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem explorar isso para fazer requisições a URLs arbitrárias e recuperar informações sensíveis de serviços internos. **Recomendações** Atualize o plugin para uma versão posterior a 1.7.1057. Como medida paliativa temporária, restrinja o acesso à função `render csv data()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ExactMetrics – Google Analytics Dashboard for WordPress versões anteriores a 9.1.3 **Descrição** A falta de autorização no plugin permite que atacantes autenticados com nível de acesso de assinante ou superior recuperem tokens de acesso válidos do Google Ads e redefinam as configurações de integração do Google Ads. Isso ocorre porque os manipuladores AJAX `get ads access token()` e `reset experience()` verificam apenas o nonce e não realizam as verificações de capacidade necessárias, ao contrário de outros endpoints na mesma classe que exigem a capacidade `exactmetrics save settings`. **Recomendações** Atualize o plugin para uma versão posterior a 9.1.2. Como medida paliativa temporária, restrinja o acesso aos manipuladores AJAX `get ads access token()` e `reset experience()`.

**Nome do Software Vulnerável e Versões Afetadas** Royal Elementor Addons versões anteriores a 1.7.1057 **Descrição** O plugin Royal Elementor Addons para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado no widget Image Grid/Slider/Carousel. A falha existe na função `render post thumbnail()` devido à escape de saída insuficiente, especificamente onde `wp kses post()` é usado em vez de `esc attr()` para o contexto do atributo alt. Atacantes autenticados com nível de acesso de Autor ou superior podem injetar scripts web arbitrários por meio de legendas de imagens. Esses scripts são executados quando um usuário visualiza uma página que contém a imagem maliciosa exibida no widget de grade de mídia. **Recomendações** Atualize o plugin para uma versão posterior a 1.7.1056. Como medida paliativa temporária, restrinja o acesso à função `render post thumbnail()` ou limite as permissões de usuários que podem editar legendas de imagens no widget Image Grid/Slider/Carousel.

**Nome do Software Vulnerável e Versões Afetadas** HubSpot All-In-One Marketing - Forms, Popups, Live Chat versões anteriores a 11.3.33 **Descrição** Existe um problema no arquivo `leadin/public/admin/class-adminconstants.php` que permite que atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior extraiam uma lista de todos os plugins instalados e suas respectivas versões. Essa exposição de informações sensíveis pode ser usada para reconhecimento para facilitar ataques posteriores. **Recomendações** Atualize o plugin para uma versão posterior a 11.3.32. Restrinja o acesso ao arquivo `leadin/public/admin/class-adminconstants.php` para minimizar o risco de exposição de informações.

**Name of the Vulnerable Software and Affected Versions** Email Encoder WordPress plugin versões anteriores a 2.3.4 **Description** Determinadas configurações não são devidamente sanitizadas e escapadas. Isso permite que usuários com altos privilégios, como administradores, realizem ataques de Stored Cross-Site Scripting, que ocorre quando um script malicioso é armazenado permanentemente no servidor alvo, mesmo em ambientes onde a capacidade `unfiltered html` está desativada, como em configurações de multisite. **Recommendations** Atualize o plugin para a versão 2.3.4.

**Name of the Vulnerable Software and Affected Versions** Unlimited Elements for Elementor versões anteriores a 2.0.7 **Description** Um problema de leitura arbitrária de arquivos existe devido à sanitização insuficiente de travessia de caminho nas funções `URLtoRelative()` e `urlToPath()`, combinada com a capacidade de habilitar a saída de depuração nas configurações do widget. A função `URLtoRelative()` remove a URL base do site, mas não sanitiza sequências de travessia de caminho (../), enquanto a função `cleanPath()` normaliza os separadores de diretório sem remover os componentes de travessia. Isso permite que atacantes autenticados com nível de acesso de Autor ou superior leiam arquivos locais arbitrários do host WordPress, como o wp-config, ao fornecer uma URL manipulada no parâmetro 'Repeater JSON/CSV URL'. **Recommendations** Atualize o plugin para uma versão posterior a 2.0.6.

**Name of the Vulnerable Software and Affected Versions** Shortcodes Ultimate versões anteriores a 7.5.0 **Description** O plugin Shortcodes Ultimate para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes em atributos fornecidos pelo usuário no shortcode 'su box'. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. **Recommendations** Atualize para uma versão posterior a 7.4.9.

Name of the Vulnerable Software and Affected Versions Plugin WP-Optimize para WordPress versões até e incluindo 4.5.0 Description O plugin WP-Optimize para WordPress apresenta uma falha que permite acesso não autorizado a funcionalidades. Isso se deve à ausência de verificações de capacidade na função `receive heartbeat()` dentro do arquivo `includes/class-wp-optimize-heartbeat.php`. O manipulador Heartbeat invoca diretamente métodos `Updraft Smush Manager Commands` sem a devida verificação de capacidades do usuário, tokens nonce ou uma lista de permissões de comandos. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior executem operações Smush exclusivas do administrador, incluindo a leitura de arquivos de log através do endpoint `/api/v1/smush/logs`, a exclusão de todas as imagens de backup usando a função `clean all backup images()`, o acionamento do processamento em massa de imagens com a função `process bulk smush()` e a modificação das opções Smush através da função `update smush options()`. Recommendations Atualize para uma versão do plugin WP-Optimize posterior a 4.5.0.

Name of the Vulnerable Software and Affected Versions The BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net versões até e incluindo 1.1.5 Description O plugin BEAR – Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net para WordPress é suscetível a Cross-Site Request Forgery devido à falta de validação nonce na função `woobe redraw table row()`. Isso permite que atacantes não autenticados modifiquem dados de produtos WooCommerce, incluindo preços e descrições, enganando um administrador do site ou gerente de loja para realizar uma ação. Recommendations As versões até e incluindo 1.1.5 devem ser atualizadas para uma versão mais recente que inclua a validação nonce para a função `woobe redraw table row()`.