Gaetano Perrone

**Nome do software vulnerável e versões afetadas** Versões do plugin Contact Form Entries para WordPress anteriores à 1.2.4 **Descrição** O problema diz respeito ao plugin Contact Form Entries do WordPress, que não sanitiza e escapa adequadamente vários parâmetros, incluindo `form id`, `status`, `end date`, `order`, `orderby` e `search`, antes de exibi-los na página de administração. Essa falta de sanitização e escape pode levar a possíveis problemas de segurança. **Recomendações** Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de administração ou limitar o uso dos parâmetros afetados até que um patch seja aplicado. Evite usar os parâmetros `form id`, `status`, `end date`, `order`, `orderby` e `search` na página de administração até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin Contact Form Entries para WordPress anteriores à 1.1.7 **Descrição** A vulnerabilidade permite que invasores não autenticados realizem ataques de Cross-Site Scripting contra administradores conectados que estejam visualizando a entrada criada. Isso ocorre porque o plugin não valida, sanitiza e escapa o endereço IP recuperado por meio de cabeçalhos como `CLIENT-IP` e `X-FORWARDED-FOR`. **Recomendações** Para versões anteriores à 1.1.7, atualize para a versão 1.1.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para usuários não autenticados até que a atualização seja aplicada.