Endang Alfarisi

**Nome do Software Vulnerável e Versões Afetadas** Debug Log Manager – Conveniently Monitor and Inspect Errors versões anteriores a 2.5.1 **Descrição** O plugin está sujeito a uma neutralização inadequada de saída para logs. O manipulador AJAX `log js errors()` é registrado para usuários não autenticados via `wp ajax nopriv log js errors` e é protegido apenas por um nonce. Este nonce é divulgado publicamente no HTML de todas as páginas front-end através de `wp localize script()` quando o log de erros de JavaScript está ativado, não fornecendo uma barreira de autorização eficaz. Atacantes não autenticados podem injetar entradas forjadas no log de depuração do WordPress controlando as variáveis `message`, `script`, `lineNo`, `columnNo` e `pageUrl`. Isso permite a falsificação de registros de incidentes e a ocultação de atividades maliciosas. Este problema só é explorável se o recurso de log de erros de JavaScript estiver ativado. **Recomendações** Atualize para uma versão posterior a 2.5.0. Como mitigação temporária, desative o recurso de log de erros de JavaScript para evitar que o nonce seja publicado no HTML da página.