Dogus Demirkiran

Name of the Vulnerable Software and Affected Versions: IP Based Login WordPress plugin versions prior to 2.4.1 Description: The issue allows high privilege users, such as admins, to perform Stored Cross-Site Scripting attacks, even when the unfiltered html capability is disallowed, for example in multisite setups. This is due to the plugin not sanitizing values when importing. Recommendations: For IP Based Login WordPress plugin versions prior to 2.4.1, update to version 2.4.1 or later to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress Admin and Site Enhancements (ASE) versões anteriores à 7.6.10 **Descrição** O problema diz respeito ao uso de uma senha hardcoded na funcionalidade de Proteção por Senha do plugin WordPress Admin and Site Enhancements (ASE). Isso permite que um atacante contorne a proteção oferecida pelo plugin por meio de uma requisição manipulada. **Recomendações** Para versões anteriores à 7.6.10, atualize para a versão 7.6.10 ou posterior para resolver o problema. Como solução temporária, considere desativar a funcionalidade de Proteção por Senha até que um patch esteja disponível. Restrinja o acesso ao módulo de Proteção por Senha para minimizar o risco de exploração. Evite utilizar a senha hardcoded na funcionalidade afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Smart Maintenance Mode para WordPress anteriores à 1.5.2 **Descrição** O problema diz respeito ao plugin Smart Maintenance Mode para WordPress, que não sanitiza e escapa corretamente algumas de suas configurações. Isso poderia permitir que usuários com altos privilégios, como administradores, realizem ataques de Cross-Site Scripting Armazenado, mesmo quando a capacidade unfiltered html estiver desabilitada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso das configurações do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin WordPress Smart Maintenance Mode anteriores à 1.5.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting Armazenado (Stored XSS). Isso é possível porque o plugin não sanitiza e escapa adequadamente algumas de suas configurações. O ataque pode ocorrer mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver a falha. Como medida paliativa, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Admin and Site Enhancements (ASE) WordPress plugin versions prior to 7.6.10 **Description** The issue allows an attacker to manipulate client IP addresses retrieved from potentially untrusted headers, enabling them to bypass the login limit feature. **Recommendations** For versions prior to 7.6.10, update to version 7.6.10 or later to resolve the issue. As a temporary workaround, consider restricting access to the login feature to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do plugin System Dashboard para WordPress anteriores à 2.8.15 **Descrição** A vulnerabilidade permite que usuários não autenticados realizem ataques de Cross-Site Scripting, pois o plugin não sanitiza e não escapa alguns parâmetros ao exibi-los na página. **Recomendações** Para versões anteriores à 2.8.15, atualize para a versão 2.8.15 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin System Dashboard para WordPress anteriores à 2.8.15 **Descrição** O problema está relacionado ao fato de o plugin não validar as entradas do usuário utilizadas em um caminho, o que poderia permitir que usuários com privilégios elevados, como o administrador, realizassem ataques de traversal de caminho e lessem arquivos arbitrários no servidor. **Recomendações** Para versões anteriores à 2.8.15, atualize para a versão 2.8.15 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 3.2024.11 da plataforma de educação à distância TRtek Software **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando SQL, também conhecida como injeção de SQL, e à vulnerabilidade de validação inadequada de entradas. Isso permite a injeção de SQL e a injeção de parâmetros, representando um sério risco à segurança cibernética. **Recomendações** Para versões anteriores à 3.2024.11, atualize para a versão 3.2024.11 ou posterior para resolver o problema. Como solução temporária, considere restringir a validação de entradas para minimizar o risco de exploração. Restrinja o acesso a consultas de banco de dados confidenciais para minimizar o risco de injeção de SQL.