Ethicalhack3R

**Nome do software vulnerável e versões afetadas** Versões do Frontend File Manager anteriores à 4.0 Versões do N-Media Post Front-end Form anteriores à 1.1 **Descrição** A vulnerabilidade permite que invasores não autenticados enviem arquivos arbitrários para o servidor devido à falta de validação do tipo de arquivo nas ações AJAX `nm filemanager upload file` e `nm postfront upload file`, possibilitando potencialmente a execução remota de código. **Recomendações** Para versões do Frontend File Manager anteriores à 4.0, atualize para a versão 4.0 ou posterior para resolver o problema. Para versões do N-Media Post Front-end Form anteriores à 1.1, atualize para a versão 1.1 ou posterior para resolver o problema. Como solução temporária, considere desativar as ações AJAX `nm filemanager upload file` e `nm postfront upload file` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin ClickBank Affiliate Ads para WordPress, versões 1.20 e anteriores **Descrição** O problema decorre da ausência de uma verificação CSRF ao salvar configurações, permitindo que um invasor manipule um administrador conectado para alterá-las por meio de um ataque CSRF. Além disso, a falta de escapamento ao exibir as configurações pode levar a problemas de Stored Cross-Site Scripting. **Recomendações** Para as versões 1.20 e anteriores do plugin ClickBank Affiliate Ads para WordPress, atualize para uma versão que inclua uma verificação CSRF e o escape adequado das configurações de saída para evitar esses problemas. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Attachment Export para WordPress anteriores à 0.2.4 **Descrição** O problema diz respeito à falta de controles de acesso adequados, permitindo que usuários não autenticados baixem dados XML contendo detalhes de anexos e publicações em um site WordPress. **Recomendações** Para versões do plugin WP Attachment Export para WordPress anteriores à 0.2.4, atualize para a versão 0.2.4 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Swim Team plugin version 1.44.10777 **Description** The issue allows remote attackers to read arbitrary files via a full pathname in the `file` parameter in the include/user/download.php file. **Recommendations** For Swim Team plugin version 1.44.10777, consider restricting access to the include/user/download.php file until a patch is available. Avoid using the `file` parameter in the affected API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** WordPress version 3.5.1 **Description** The issue allows remote attackers to cause a denial of service, specifically CPU consumption, by providing a crafted value of a certain `wp-postpass` cookie when a password-protected post exists. **Recommendations** For WordPress version 3.5.1, update to a newer version to mitigate the risk of CPU consumption denial of service attacks.