Ghsinfosec

**Nome do Software Vulnerável e Versões Afetadas** 6Storage Rentals versões n/a até 2.19.5 **Descrição** O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões n/a até 2.19.5, atualize para uma versão que contenha uma correção para este problema, pois a versão atual permite a exploração de níveis de segurança de controle de acesso devido à falta de autorização.

**Nome do Software Vulnerável e Versões Afetadas** Booking and Rental Manager versões 2.3.8 e anteriores **Descrição** A questão está relacionada a uma vulnerabilidade de Autorização Ausente, que permite acessar funcionalidades não devidamente restritas por ACLs. **Recomendações** Para as versões 2.3.8 e anteriores, atualize para uma versão que restrinja adequadamente as funcionalidades por meio de ACLs para prevenir acesso não autorizado. Como medida de contorno temporária, considere restringir o acesso a funcionalidades sensíveis para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Devs Blog, Posts and Category Filter for Elementor versões n/a até 2.0.1 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting. Isso permite ataques XSS Armazenados. **Recomendações** Para o Plugin Devs Blog, Posts and Category Filter for Elementor versões n/a até 2.0.1, atualize para uma versão posterior à 2.0.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Realty Workstation versões 1.0.45 e anteriores **Descrição** O problema está relacionado à falta de autorização adequada no Realty Workstation, permitindo o acesso a funções não limitadas corretamente por listas de controle de acesso. **Recomendações** Para as versões 1.0.45 e anteriores, considere restringir o acesso a funções sensíveis até que uma correção adequada seja aplicada, garantindo que as listas de controle de acesso estejam configuradas corretamente para limitar o acesso não autorizado. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O plugin The Motors – Car Dealer, Classifieds & Listing para WordPress, versões 1.4.43 e anteriores **Descrição** A vulnerabilidade permite que atacantes autenticados com acesso de nível de Assinante ou superior executem shortcodes arbitrários, devido ao software permitir que os usuários executem uma ação sem validar corretamente um valor antes de executar `do shortcode`. Isso possibilita a execução de shortcodes arbitrários. **Recomendações** Para as versões 1.4.43 e anteriores, atualize para uma versão superior à 1.4.43 para resolver o problema. Como medida temporária, considere restringir o acesso à função `do shortcode` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP Hait Post Grid Elementor Addon anteriores à 2.0.19 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração da página web, permitindo Cross-site Scripting (XSS) armazenado. Isso permite que atacantes injetem scripts maliciosos no site, potencialmente afetando as sessões dos usuários. **Recomendações** Para versões anteriores à 2.0.19, atualize para a versão 2.0.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao `WP Hait Post Grid Elementor Addon` até que uma correção seja aplicada.

**Nome do software vulnerável e versões afetadas** Saksh Escrow System, versões n/a a 2.4 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite a injeção de SQL, possibilitando que agentes mal-intencionados manipulem dados. **Recomendações** Para as versões do Saksh Escrow System de n/a a 2.4, atualize para uma versão que inclua uma correção para este problema, a fim de prevenir ataques cibernéticos. Como solução temporária, considere restringir o acesso a dados confidenciais e garantir a validação adequada das entradas para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Saul Morales Pacheco Banner System, versões n/a a 1.0.0 Descrição: O problema está relacionado a uma vulnerabilidade de autorização ausente, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. Recomendações: Para as versões do Saul Morales Pacheco Banner System de n/a a 1.0.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Wp NssUser Register, versões n/a a 1.0.0 Descrição: O problema está relacionado a uma atribuição incorreta de privilégios no nssTheme Wp NssUser Register, permitindo a escalada de privilégios. Recomendações: Para as versões n/a a 1.0.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Devs Post Carousel Slider para Elementor, versões 1.4.0 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração da página da web, o que permite Cross-site Scripting (XSS) armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, levando potencialmente a acesso ou controle não autorizado. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o Plugin Devs Post Carousel Slider para Elementor versões 1.4.0 e anteriores, atualize para uma versão posterior à 1.4.0 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Pathomation de n/a a 2.5.1 **Descrição** A vulnerabilidade permite o upload irrestrito de arquivos de tipos perigosos, possibilitando o upload de um web shell para um servidor web. Isso pode ser explorado através do upload de arquivos maliciosos. **Recomendações** Para as versões do Pathomation de n/a a 2.5.1, como solução temporária, considere restringir o upload de arquivos para impedir o upload de arquivos maliciosos até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin LA-Studio Element Kit for Elementor para WordPress, versões até a 1.4.2, inclusive **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior incluam e executem arquivos arbitrários no servidor por meio da função ` load template`. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos. **Recomendações** Para versões até a 1.4.2, inclusive, considere desativar a função ` load template` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite enviar arquivos executáveis ou quaisquer arquivos que possam ser usados para executar código malicioso. Atualize para uma versão que corrija esta vulnerabilidade assim que ela estiver disponível.

**Nome do software vulnerável e versões afetadas** Saul Morales Pacheco Banner System, versões n/a a 1.0.0 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da web, o que permite um ataque XSS armazenado (Stored XSS). Isso significa que um invasor pode injetar scripts maliciosos no sistema, afetando potencialmente os usuários que acessarem as páginas da web comprometidas. **Recomendações** Para as versões do Saul Morales Pacheco Banner System de n/a a 1.0.0, como solução temporária, considere restringir a entrada de dados do usuário para impedir a injeção de scripts maliciosos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ThimPress WP Hotel Booking até a versão 2.1.4 **Descrição** Existe uma vulnerabilidade de traversal de caminho no ThimPress WP Hotel Booking, permitindo a inclusão de arquivos locais em PHP. **Recomendações** Para versões até a 2.1.4, atualize para uma versão posterior à 2.1.4 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Chetan Khandla Woocommerce Product Design, versões 1.0.0 e anteriores Descrição: O problema está relacionado a uma limitação inadequada do nome do caminho para um diretório restrito, também conhecida como vulnerabilidade de traversal de caminho. Isso permite o traversal de caminho, o que pode ser potencialmente explorado. Recomendações: Para as versões 1.0.0 e anteriores do Chetan Khandla Woocommerce Product Design, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WPKoi Templates for Elementor, versões 3.1.0 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 3.1.0 e anteriores, atualize para uma versão posterior à 3.1.0 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação específicas para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Exam Matrix versões 1.5 e anteriores Descrição: A vulnerabilidade afeta o Exam Matrix, permitindo a escalada de privilégios devido a uma atribuição incorreta de privilégios. Recomendações: Para as versões 1.5 e anteriores do Exam Matrix, atualize para uma versão que contenha uma correção para esta vulnerabilidade, se disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Realty Workstation, versões 1.0.0 a 1.0.45 Descrição: O problema está relacionado a uma vulnerabilidade de contorno de autenticação por meio de um caminho ou canal alternativo no Realty Workstation, permitindo acesso não autorizado. Recomendações: Para as versões 1.0.0 a 1.0.45, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Woocommerce Product Design versões 1.0.0 e anteriores **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como vulnerabilidade de traversal de caminho. Isso permite um possível acesso não autorizado para ler, modificar ou excluir dados. A vulnerabilidade pode ser explorada por um invasor remoto. **Recomendações** Para as versões 1.0.0 e anteriores do Woocommerce Product Design, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões oficiais do INK de n/a a 4.1.2 **Descrição** A vulnerabilidade permite o upload irrestrito de arquivos de tipos perigosos, possibilitando que um invasor envie um web shell para um servidor web. **Recomendações** Para as versões n/a a 4.1.2, atualize para uma versão que contenha uma correção para este problema, pois o uso de uma funcionalidade de upload de arquivos sem restrições representa um risco significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.