Gabriel3476

**Nome do software vulnerável e versões afetadas** Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões anteriores à 1.5.8 **Descrição** A vulnerabilidade permite que invasores façam com que um administrador conectado adicione uma campanha de rastreamento com cargas XSS por meio de um ataque CSRF, uma vez que não há verificação CSRF em vigor ao adicionar uma campanha de rastreamento e os campos da campanha não são escapados ao serem exibidos nos atributos. **Recomendações** Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de campanha de rastreamento para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões anteriores à 1.5.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting. Isso é possível porque o plugin não escapa corretamente várias configurações antes de exibi-las em atributos, mesmo quando unfiltered html está desativado. **Recomendações** Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões anteriores à 1.5.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, enviem arquivos PHP disfarçados como imagens, que podem conter código PHP malicioso, devido à validação inadequada de imagens. **Recomendações** Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 ou posterior para resolver o problema. Como solução temporária, considere restringir os recursos de envio de imagens a usuários confiáveis até que a atualização seja aplicada.