Greenhats

**Nome do Software Vulnerável e Versões Afetadas** Broadstreet versões anteriores a 1.53.2 **Descrição** O plugin Broadstreet para WordPress contém um problema de Cross-Site Scripting Armazenado nas configurações de administrador, causado por sanitização de entrada e escape de saída insuficientes. Atacantes autenticados com permissões de nível de administrador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. Este problema impacta especificamente instalações multi-site e ambientes onde o `unfiltered html` foi desativado. **Recomendações** Atualize para uma versão posterior a 1.53.1.

**Nome do Software Vulnerável e Versões Afetadas** Broadstreet versões anteriores a 1.53.2 **Descrição** O plugin Broadstreet para WordPress permite acesso não autorizado devido à ausência de uma verificação de capacidade na ação AJAX 'create advertiser'. Isso possibilita que usuários autenticados com permissões de nível Assinante (Subscriber) ou superior criem anunciantes. **Recomendações** Atualize para uma versão posterior à 1.53.1. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'create advertiser' para evitar a criação não autorizada de anunciantes.

**Nome do Software Vulnerável e Versões Afetadas** Broadstreet versões anteriores a 1.53.2 **Descrição** O plugin Broadstreet para WordPress contém uma falha de exposição de informações sensíveis. Atacantes autenticados com nível de acesso de assinante ou superior podem extrair dados de detalhes comerciais privados e protegidos por senha por meio da ação AJAX 'get sponsored meta()'. **Recomendações** Atualize o plugin para uma versão posterior a 1.53.1. Como medida paliativa temporária, restrinja o acesso à ação AJAX `get sponsored meta()` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** WP Timetics versions prior to 1.0.37 **Description** The Appointment Booking and Scheduling Calendar Plugin – WP Timetics for WordPress is susceptible to unauthorized access and modification of data. This is due to a missing capability check on the `update` and `register routes` functions. An unauthenticated attacker can view and modify booking details. **Recommendations** Update to version 1.0.37 or later.

**Nome do Software Vulnerável e Versões Afetadas** VikRestaurants Table Reservations and Take-Away versões até a 1.4 **Descrição** O software contém uma falha devido ao tratamento inadequado de dados fornecidos pelo usuário ao criar páginas web, resultando em uma condição de Cross-site Scripting Armazenado. Isso permite que um atacante injete scripts maliciosos em páginas web visualizadas por outros usuários. O software afetado é o VikRestaurants Table Reservations and Take-Away. **Recomendações** Atualize o VikRestaurants Table Reservations and Take-Away para uma versão posterior à 1.4.

**Nome do Software Vulnerável e Versões Afetadas** VikRestaurants Table Reservations and Take-Away versões até a 1.4 **Descrição** O software contém uma falha relacionada ao tratamento inadequado de dados fornecidos pelo usuário ao criar páginas web, potencialmente resultando em Cross-site Scripting Refletido. Isso poderia permitir que um invasor injetasse scripts maliciosos em páginas web visualizadas por outros usuários. **Recomendações** Atualize o VikRestaurants Table Reservations and Take-Away para uma versão posterior à 1.4.

Nome do Software Vulnerável e Versões Afetadas: Versões do Webba Booking até a 6.0.5 Descrição: O Webba Booking está suscetível a um problema de cross-site scripting (XSS) devido à neutralização inadequada de entrada durante a geração da página web. Isso permite ataques de XSS armazenado. Recomendações: Atualize o Webba Booking para uma versão posterior à 6.0.5.

Nome do Software Vulnerável e Versões Afetadas: CreedAlly Bulk Featured Image versões 1.2.1 e anteriores Descrição: A vulnerabilidade permite o upload de um Web Shell para um servidor web devido ao upload de arquivos sem restrições com tipos de arquivos perigosos. Recomendações: Para as versões 1.2.1 e anteriores do CreedAlly Bulk Featured Image, considere restringir os uploads de arquivos para permitir apenas tipos de arquivos seguros até que uma correção esteja disponível. Como medida temporária, restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: fridaysystems Inventory Presser versões até 15.0.0 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting, o que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente levando a acesso ou controle não autorizados. Recomendações: Para versões até 15.0.0, atualize para uma versão posterior à 15.0.0 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Matt WP Voting Contest versões n/a até 5.8 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting, o que permite XSS Armazenado (Stored XSS). Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando os usuários que visitam a página. Recomendações: Para o Matt WP Voting Contest versões n/a até 5.8, atualize para uma versão posterior à 5.8 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Gerenciador de Receitas - WPH versões 1.0.0 à 1.0.4 Descrição: A questão está relacionada à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, os quais podem ser executados por outros usuários. Recomendações: Para as versões 1.0.0 à 1.0.4, atualize para uma versão superior à 1.0.4 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.