Ehti

**Nome do software vulnerável e versões afetadas** Versões beta do WordPress 5.8 **Descrição** O problema está relacionado a erros de autenticação no sistema de gerenciamento de conteúdo do WordPress. Ele permite que um invasor remoto contorne as restrições existentes. Usuários autenticados sem permissão para visualizar tipos de postagens ou dados privados podem contornar as restrições no editor de blocos sob certas condições. **Recomendações** Para a versão 5.8 beta do WordPress, atualize para a versão final 5.8 para resolver o problema. Como solução temporária, considere restringir o acesso ao editor de blocos para usuários autenticados sem as permissões adequadas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.8.1 **Descrição** O problema está relacionado à função `wp die()` do WordPress, que pode vazar dados de saída em determinadas condições, incluindo informações confidenciais como nonces. Esses dados vazados podem ser usados para realizar ações em nome do usuário. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. **Recomendações** Para versões anteriores à 5.8.1, atualize para o WordPress 5.8.1 ou posterior para receber a correção. É altamente recomendável manter as atualizações automáticas ativadas para garantir o recebimento da correção. Como solução temporária, considere restringir o acesso à função `wp die()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.8 **Descrição** A vulnerabilidade permite que um usuário autenticado, mas com privilégios limitados, como um colaborador ou autor, execute scripts entre sites (XSS) no editor, contornando as restrições impostas aos usuários que não têm permissão para publicar `unfiltered html`. **Recomendações** Para versões anteriores à 5.8, atualize para o WordPress 5.8 ou habilite as atualizações automáticas para receber a correção por meio de versões secundárias. Como solução temporária, considere restringir o uso do editor para usuários com privilégios limitados até que um patch esteja disponível. Mantenha as atualizações automáticas habilitadas para receber a correção.

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.7.1 **Descrição** O problema está relacionado a uma falha na análise de XML na Biblioteca de Mídia do WordPress, o que pode levar a ataques XXE. Essa vulnerabilidade pode ser explorada por um usuário com permissão para fazer upload de arquivos, como um Autor, e requer que a instalação do WordPress esteja utilizando o PHP 8. Um ataque bem-sucedido pode proporcionar acesso a arquivos internos. **Recomendações** Para versões anteriores à 5.7.1, atualize para a versão 5.7.1 ou posterior do WordPress para resolver o problema. Como solução temporária, considere restringir as permissões de upload de arquivos para minimizar o risco de exploração. Mantenha as atualizações automáticas ativadas para garantir que os patches de segurança mais recentes sejam aplicados.

**Nome do software vulnerável e versões afetadas** Versões do WordPress anteriores à 5.7.1 **Descrição** O problema está relacionado à exposição de informações no WordPress, um sistema de gerenciamento de conteúdo. Envolve a exploração de um bloco no editor do WordPress, o que pode expor postagens e páginas protegidas por senha. Isso requer, no mínimo, privilégios de colaborador. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. Os detalhes técnicos sobre a exploração incluem a necessidade de privilégios de colaborador para acessar dados confidenciais. **Recomendações** Para versões anteriores à 5.7.1, atualize para o WordPress 5.7.1 ou posterior para receber a correção. Também é recomendável manter as atualizações automáticas ativadas para garantir que os patches de segurança mais recentes sejam aplicados. Como solução alternativa temporária, considere restringir o acesso ao editor do WordPress para usuários com privilégios de colaborador até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do BuddyPress anteriores à 5.1.2 **Descrição** A vulnerabilidade permite que solicitações a um determinado endpoint da API REST exponham dados privados do usuário sem exigir autenticação. **Recomendações** Para versões anteriores à 5.1.2, atualize para a versão 5.1.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint vulnerável da API REST até que a atualização seja aplicada.