Fernando Mecozzi

**Nome do Software Vulnerável e Versões Afetadas** Premium Addons for Elementor versões anteriores a 4.11.71 **Descrição** Ocorre Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas através do parâmetro `custom svg`. Esses scripts são executados sempre que um usuário acessa a página afetada. **Recomendações** Atualize para uma versão posterior a 4.11.70. Como medida paliativa temporária, restrinja o acesso ao parâmetro `custom svg` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** CoBlocks versões anteriores a 3.1.17 **Description** O plugin Page Builder Gutenberg Blocks – CoBlocks para WordPress contém um problema de Cross-Site Scripting Armazenado. Isso ocorre devido à escape de saída insuficiente de títulos, descrições e locais de eventos obtidos de feeds iCal externos na função de renderização do bloco Events. Atacantes autenticados com nível de acesso Colaborador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. **Recommendations** Atualize o plugin para uma versão posterior a 3.1.16.

**Name of the Vulnerable Software and Affected Versions** Advanced Custom Fields (ACF) plugin for WordPress versões anteriores a 6.7.1 **Description** O plugin contém uma falha onde endpoints de consulta de campo AJAX aceitam parâmetros de filtro fornecidos pelo usuário que substituem as restrições configuradas no campo sem as devidas verificações de autorização. Isso permite que invasores não autenticados com acesso a um formulário ACF no frontend enumerem e divulguem informações sobre posts rascunhos ou privados, tipos de posts restritos e outros dados que deveriam ser restringidos pela configuração do campo. **Recommendations** Atualize o plugin para uma versão posterior a 6.7.0.