Fayçal Chena

**Nome do software vulnerável e versões afetadas** Plugin “Coming Soon - Under Construction” do WordPress, versões 1.1.9 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, pois o plugin não sanitiza nem escapa algumas de suas configurações, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para as versões 1.1.9 e anteriores do plugin “The Coming Soon - Under Construction” do WordPress, atualize para uma versão que resolva a sanitização e o escape das configurações para evitar ataques de Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Event Timeline para WordPress, versões 1.1.5 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento do texto da linha do tempo, mesmo quando a função `unfiltered html` está desativada. **Recomendações** Para as versões 1.1.5 e anteriores do plugin Event Timeline para WordPress, considere desativar o recurso de texto da linha do tempo até que uma correção esteja disponível para evitar possíveis ataques de Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Contact Slider para WordPress anteriores à 2.4.7 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como editores e níveis superiores, realizem ataques de Cross-Site Scripting. Isso é possível porque as configurações de “Texto a exibir” dos controles deslizantes não são devidamente sanitizadas e escapadas, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 2.4.7, atualize para a versão 2.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das configurações de “Texto a exibir” nos sliders para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin “The Form - Contact Form” para WordPress anteriores à 1.2.1 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting. Isso é possível porque o plugin não sanitiza e não escapa adequadamente os campos de texto personalizados, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para as versões do plugin The Form - Contact Form para WordPress anteriores à 1.2.1, atualize para a versão 1.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos campos de texto personalizados para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Image Gallery para WordPress anteriores à 1.1.6 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting. Isso é possível porque o plugin não sanitiza e não escapa adequadamente alguns de seus campos de imagem, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 1.1.6, atualize para a versão 1.1.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos campos de imagem do plugin Image Gallery por usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.5.0 do plugin Post Grid, Slider & Carousel Ultimate para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização e escape do título do cabeçalho, mesmo quando a capacidade unfiltered html está desativada. **Recomendações** Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Carousel CK para WordPress anteriores à 1.1.1 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting quando a opção `unfiltered html` está desativada, devido à falta de sanitização e escapamento das descrições dos slides. **Recomendações** Para versões do plugin Carousel CK para WordPress anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Slideshow CK para WordPress anteriores à 1.4.10 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting quando a opção `unfiltered html` está desativada, devido à falta de sanitização e escapamento das descrições do plugin Slideshow. **Recomendações** Para versões anteriores à 1.4.10, atualize para a versão 1.4.10 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Video Slider para WordPress anteriores à 1.4.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização ou escapamento de algumas configurações de vídeo, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 1.4.8, atualize para a versão 1.4.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações de vídeo para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Slideshow para WordPress, versões 2.3.1 e anteriores **Descrição** O problema diz respeito ao plugin Slideshow para WordPress, no qual algumas configurações padrão da apresentação de slides não são devidamente sanitizadas e escapadas. Isso poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` estiver desativada. **Recomendações** Para as versões 2.3.1 e anteriores do plugin Slideshow para WordPress, atualize para uma versão que corrija a sanitização e o escape das configurações padrão da apresentação de slides, a fim de prevenir ataques de Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin BannerMan para WordPress anteriores à 0.2.5 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting quando o unfiltered html é desativado, como em multisite, devido ao plugin não sanitizar ou escapar suas configurações. **Recomendações** Para versões do plugin BannerMan para WordPress anteriores à 0.2.5, atualize para a versão 0.2.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin IMDB info box para WordPress até a 2.0 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento de algumas configurações, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para as versões do plugin IMDB info box para WordPress até a 2.0, considere atualizar para uma versão que corrija essa vulnerabilidade, já que não há solução alternativa específica disponível para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin Sliderby10Web para WordPress anteriores à 1.2.52 **Descrição** O problema está relacionado à sanitização e ao escape inadequados de algumas configurações no plugin, o que poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Cross-Site Scripting mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 1.2.52, atualize para a versão 1.2.52 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Tabs para WordPress anteriores à 2.2.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, mesmo aqueles com uma função tão básica quanto a de editor, realizem ataques de Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, devido à falta de sanitização e escapamento das descrições das guias. **Recomendações** Para versões anteriores à 2.2.8, atualize para a versão 2.2.8 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade dos editores de criar ou modificar descrições de abas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin BulletProof Security para WordPress anteriores à 6.1 **Descrição** O problema diz respeito ao plugin BulletProof Security para WordPress, no qual certas configurações de CAPTCHA não são devidamente sanitizadas e escapadas. Isso poderia permitir que usuários com privilégios elevados realizassem ataques de Cross-Site Scripting, mesmo em cenários em que o uso de `unfiltered html` é proibido. **Recomendações** Para versões anteriores à 6.1, atualize para a versão 6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do CAPTCHA para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Slide Anything para WordPress anteriores à 2.3.44 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como editores e níveis superiores, realizem ataques de Cross-Site Scripting. Isso é possível porque o plugin não sanitiza e não escapa adequadamente as descrições dos sliders, mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 2.3.44, atualize para a versão 2.3.44 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de criar ou editar sliders até que a atualização seja aplicada.