Eldar Zeynalli

**Nome do software vulnerável e versões afetadas** O plugin Easy Social Feed – Social Photos Gallery – Post Feed – Like Box para o WordPress, em versões até a 6.5.4, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à falta ou à validação incorreta do nonce nas funções `esf insta save access token` e `efbl save facebook access token`. Isso permite que invasores não autenticados conectem suas páginas do Facebook e do Instagram a um site, induzindo um administrador do site a realizar uma ação, como clicar em um link, por meio de uma solicitação falsificada. **Recomendações** Para versões até a 6.5.4, inclusive, atualize para uma versão que inclua a validação adequada do nonce para as funções `esf insta save access token` e `efbl save facebook access token`, a fim de prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso às funções `esf insta save access token` e `efbl save facebook access token` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** O plugin Easy Social Feed – Social Photos Gallery – Post Feed – Like Box para versões do WordPress até a 6.5.4, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função `save groups list`. Isso permite que invasores não autenticados desconectem a conexão da página ou grupo do Facebook ou Instagram de um site, induzindo um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 6.5.4, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função `save groups list`. Como solução temporária, considere restringir o acesso à função `save groups list` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** SoftwareX (affected versions not specified) **Description** The issue is related to the integrated oAuth Authorization Service, where functions with insufficient randomness were used to generate authorization tokens. This made authorization codes predictable for third parties, allowing them to intercept and take over the client authorization process, potentially compromising other users' accounts. The oAuth Authorization Service is not enabled by default. The implementation has been updated to use sources with sufficient randomness to generate authorization tokens. No publicly available exploits are known. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.