Hakiduck

**Nome do Software Vulnerável e Versões Afetadas** Versões do s2Member n/a até 250214 **Descrição** O problema está relacionado a uma vulnerabilidade de Traversão de Caminho Relativo, que permite a Traversão de Caminho. Este problema afeta o s2Member, possibilitando potencial acesso não autorizado a arquivos. **Recomendações** Para as versões n/a até 250214, atualize para uma versão que contenha uma correção para este problema, pois a versão atual é afetada pela vulnerabilidade de Traversão de Caminho Relativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do RapidLoad 2.4.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite explorar níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões 2.4.4 e anteriores, atualize para uma versão que contenha uma correção para este problema, pois não há nenhuma solução alternativa específica fornecida para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SMS Alert Order Notifications – WooCommerce versions 3.7.8 and earlier **Description** The issue is related to an SQL Injection vulnerability due to improper neutralization of special elements used in an SQL command. This allows for SQL Injection attacks. **Recommendations** For versions 3.7.8 and earlier, update to a version later than 3.7.8 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SMS Alert Order Notifications – WooCommerce versions 3.7.8 and earlier **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting. This allows for Reflected XSS attacks. **Recommendations** For versions 3.7.8 and earlier, update to a version later than 3.7.8 to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** WordPress Auction Plugin versões n/a até 3.7 **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de Injeção de SQL. **Recomendações** Para as versões n/a até 3.7, atualize para uma versão posterior à 3.7 para resolver o problema. Como medida temporária, considere restringir o acesso a consultas sensíveis do banco de dados até que um patch esteja disponível. Evite utilizar entrada fornecida pelo usuário em comandos SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do s2Member Pro de n/a a 241114 **Descrição** O problema está relacionado a uma vulnerabilidade de controle inadequado da geração de código (“injeção de código”), que permite a injeção de código. **Recomendações** Para as versões n/a a 241114, atualize para uma versão que contenha uma correção para este problema, uma vez que não são fornecidas medidas de mitigação específicas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin de leilões para WordPress de Owen Cutajar & Hyder Jaffari, versões n/a a 3.7 Descrição: O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting. Isso permite ataques XSS armazenados. Recomendações: Para as versões n/a a 3.7, atualize para uma versão que corrija esse problema, pois a versão atual está afetada pela vulnerabilidade XSS armazenada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WordPress Auction, versões n/a a 3.7 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de injeção de SQL. **Recomendações** Para as versões do WordPress Auction Plugin de n/a a 3.7, atualize para uma versão posterior à 3.7 para resolver o problema. Como solução temporária, considere restringir o acesso a consultas sensíveis ao banco de dados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Ni WooCommerce Cost Of Goods, versões 3.2.8 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite a injeção de SQL, que pode ser explorada por invasores. **Recomendações** Para as versões 3.2.8 e anteriores, atualize para uma versão posterior à 3.2.8 para resolver o problema. Como solução temporária, considere restringir o acesso a consultas sensíveis ao banco de dados até que um patch esteja disponível. Evite usar entradas fornecidas pelo usuário em comandos SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WordPress Portfolio Builder – Portfolio Gallery, versões 1.1.7 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques XSS armazenados. A vulnerabilidade permite que um invasor injete código malicioso em um site, afetando potencialmente os usuários que visitam a página comprometida. **Recomendações** Para o WordPress Portfolio Builder – Portfolio Gallery versões 1.1.7 e anteriores, atualize para uma versão posterior à 1.1.7 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Supsystic Popup versões 1.10.29 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um mecanismo de modelos, o que permite a injeção de comandos. Isso poderia ser potencialmente explorado por meio de pontos de extremidade da API ou parâmetros vulneráveis, embora não sejam fornecidos detalhes específicos sobre a exploração. **Recomendações** Para as versões 1.10.29 e anteriores, atualize para uma versão posterior à 1.10.29 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação.

**Nome do software vulnerável e versões afetadas** Event Tickets com o Ticket Scanner nas versões 2.3.11 e anteriores **Descrição** O problema afeta o Event Tickets com o Ticket Scanner, permitindo a injeção de Server Side Include (SSI) devido à neutralização inadequada de elementos especiais utilizados em um mecanismo de modelos. Isso pode acarretar riscos de segurança. **Recomendações** Para as versões 2.3.11 e anteriores, atualize para a versão 2.3.12 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Post SMTP de n/a a 2.9.9 **Descrição** O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando SQL, também conhecida como vulnerabilidade de “injeção de SQL”, que permite a injeção de SQL cega. **Recomendações** Para as versões do Post SMTP de n/a a 2.9.9, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Podlove Podcast Publisher até a 4.1.15 **Descrição** O problema está relacionado a uma vulnerabilidade de neutralização inadequada de elementos especiais usados em um mecanismo de modelos. Essa vulnerabilidade permite ataques remotos devido a falhas no mecanismo de modelos. **Recomendações** Para versões até a 4.1.15, atualize para uma versão mais recente a fim de mitigar o risco de ataques cibernéticos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do Namaste! LMS até a 2.6.2 Descrição: O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS refletido. Recomendações: Para versões até a 2.6.2, atualize para uma versão que contenha uma correção para este problema, pois a versão atual está afetada pela vulnerabilidade de XSS refletido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do Namaste! LMS até a 2.6.2 Descrição: O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. Recomendações: Para versões até a 2.6.2, atualize para uma versão que contenha uma correção para este problema.

Nome do software vulnerável e versões afetadas: WP SEO – Calin Vingan Premium SEO Pack, versões 1.6.001 e anteriores Descrição: O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais usados em um comando SQL. Isso permite ataques de injeção de SQL. Recomendações: Para as versões 1.6.001 e anteriores, atualize para uma versão que corrija esse problema, pois a versão atual está afetada pela vulnerabilidade de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Product Filter da WBW, versões 2.7.0 e anteriores Descrição: O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais usados em um comando SQL. Isso permite ataques de injeção de SQL. Recomendações: Para as versões 2.7.0 e anteriores, atualize para uma versão posterior à 2.7.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de comando SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Backup and Staging by WP Time Capsule, versões 1.22.21 e anteriores **Descrição** O problema está relacionado à deserialização de dados não confiáveis, o que permite a injeção de objetos. **Recomendações** Para as versões 1.22.21 e anteriores, atualize para uma versão que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** WPGrim Classic Editor e Classic Widgets, versões 1.4.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite que invasores manipulem consultas ao banco de dados e, potencialmente, obtenham acesso não autorizado. **Recomendações** Para as versões 1.4.1 e anteriores, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.