Hassan Khan Yusufzai

**Name of the Vulnerable Software and Affected Versions** WP e-Customers Beta WordPress plugin version 0.0.1 **Description** The issue concerns a Reflected Cross-Site Scripting problem. It arises because the WP e-Customers Beta WordPress plugin does not properly sanitise and escape a `parameter` before outputting it back in the page. This could be exploited against high privilege users, such as the admin. **Recommendations** For version 0.0.1, consider disabling the plugin until a patch is available to prevent exploitation. Restrict access to the plugin's functionality to minimize the risk of Reflected Cross-Site Scripting attacks. Avoid using the vulnerable `parameter` in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin WoWPth para WordPress anteriores à 2.0 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido, na qual um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso poderia ser explorado contra usuários com privilégios elevados, como administradores. Recomendações: Para as versões do plugin WoWPth para WordPress anteriores à 2.0, considere atualizar para uma versão que corrija este problema, já que nenhuma solução alternativa específica é fornecida para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plugin Limit Bio para WordPress versões 1.0 e anteriores Descrição: O problema ocorre porque o plugin não sanitiza nem escapa um `parâmetro` antes de exibí-lo na página, resultando em um Cross-Site Scripting Refletido. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. Recomendações: Para o plugin Limit Bio para WordPress versão 1.0 e anteriores, atualize para uma versão que corrija este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Schedule para WordPress versão 1.0.0 **Descrição** O problema refere-se a uma vulnerabilidade de Cross-Site Scripting Refletido. Isso ocorre porque o plugin Schedule para WordPress não sanitiza e escapa adequadamente um `parâmetro` antes de exibí-lo na página. Isso pode ser utilizado contra usuários com privilégios elevados, como o administrador. **Recomendações** Para a versão 1.0.0, considere desativar a funcionalidade vulnerável até que uma correção esteja disponível. Restrinja o acesso ao plugin para minimizar o risco de exploração. Evite utilizar o `parâmetro` vulnerável na página afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: WoWPth plugin versions prior to 2.0 Description: The issue concerns a Reflected Cross-Site Scripting problem. It arises because a parameter is not properly sanitized and escaped before being outputted back in the page. This could be exploited against high-privilege users, such as administrators. Recommendations: For WoWPth plugin versions prior to 2.0, update to a version that properly sanitizes and escapes parameters before outputting them back in the page to prevent Reflected Cross-Site Scripting. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WP Click Info para WordPress versões 2.7.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Ocorre porque o plugin WP Click Info para WordPress não sanitiza e escapa adequadamente um `parâmetro` antes de exibí-lo na página. Isso poderia ser explorado contra usuários com altos privilégios, como administradores. **Recomendações** Para o plugin WP Click Info para WordPress versão 2.7.4 e anteriores, atualize para uma versão que corrija este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Plugin SEO Tools para WordPress versões 4.0.7 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido, na qual um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para as versões 4.0.7 e anteriores do plugin SEO Tools para WordPress, atualize para uma versão superior à 4.0.7 para resolver o problema. No momento, não há informações sobre outras medidas específicas de mitigação para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Não está especificado quais versões do WP Login Control anteriores à 2.0.1 são afetadas; no entanto, a versão 2.0.0 é mencionada como vulnerável, portanto, podemos afirmar: WP Login Control versões 2.0.0 e anteriores **Descrição** A questão está relacionada a um Cross-Site Scripting (XSS) Refletido, que poderia ser utilizado contra usuários com privilégios elevados, como administradores. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. **Recomendações** Para as versões do WP Login Control 2.0.0 e anteriores, atualize para uma versão superior à 2.0.0 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin XV Random Quotes para WordPress versões 1.40 e anteriores **Descrição** A questão refere-se a um problema de Cross-Site Scripting Refletido. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com altos privilégios, como administradores. **Recomendações** Para as versões 1.40 e anteriores do plugin XV Random Quotes para WordPress, atualize para uma versão que sanitiza e escapa adequadamente os parâmetros antes de exibí-los na página. Como medida temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin S3Bubble Media Streaming para WordPress anteriores à 8.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Ocorre porque um `parâmetro` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para as versões do plugin S3Bubble Media Streaming para WordPress anteriores à 8.1, atualize para a versão 8.1 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração. Evite usar o `parâmetro` vulnerável na página afetada até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Countdown Timer WordPress plugin version 1.0 **Description** The issue is related to a Reflected Cross-Site Scripting problem. It occurs because a `parameter` is not properly sanitised and escaped before being outputted back in the page. This could be exploited against high-privilege users, such as administrators. **Recommendations** For Countdown Timer WordPress plugin version 1.0, consider updating to a newer version that addresses this issue, as the current version does not properly sanitise and escape parameters, leading to potential Cross-Site Scripting attacks. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Gtbabel para WordPress anteriores à 6.6.9 **Descrição** A falha permite que atacantes não autenticados obtenham os cookies de um usuário logado, como os de um administrador, fazendo com que ele abra uma URL manipulada. Isso é possível porque o plugin não verifica se a URL para análise de código pertence ao blog, e a requisição para analisar a URL inclui os cookies do usuário. **Recomendações** Para versões anteriores à 6.6.9, atualize para a versão 6.6.9 ou posterior para corrigir a falha.

**Name of the Vulnerable Software and Affected Versions** Email Keep WordPress plugin versions 1.1 and earlier **Description** The Email Keep WordPress plugin does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin. **Recommendations** For Email Keep WordPress plugin version 1.1 and earlier, update to a version that fixes the Reflected Cross-Site Scripting issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress Activity O Meter até a versão 1.0 **Descrição** O plugin WordPress Activity O Meter não sanitiza nem escapa um parâmetro antes de exibi-lo na página, resultando em um Cross-Site Scripting Refletido que poderia ser utilizado contra usuários com privilégios elevados, como administradores. **Recomendações** Para o plugin WordPress Activity O Meter versão 1.0 e anteriores, atualize para uma versão que resolva este problema, pois o uso de uma versão sem correção representa um risco significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** WooCommerce WordPress plugin versions prior to 9.0.3 **Description** The issue is related to a Reflected Cross-Site Scripting problem. It occurs because a parameter is not properly sanitized and escaped before being outputted back in the page. This could be exploited against high-privilege users, such as administrators. **Recommendations** For versions prior to 9.0.3, update to version 9.0.3 or later to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress WP BASE Booking of Appointments, Services and Events, versões anteriores à 5.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WPMovieLibrary anteriores à 2.1.4.9 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com altos privilégios, como administradores. **Recomendações** Para versões anteriores à 2.1.4.9, atualize para a versão 2.1.4.9 ou superior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WP Pricing Table para WordPress versão 1.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso poderia ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para o plugin WP Pricing Table para WordPress versão 1.1, considere atualizar para uma versão na qual este problema foi corrigido, pois a versão atual não sanitiza e escapa os parâmetros devidamente, o que pode levar a potenciais ataques de Cross-Site Scripting.

**Nome do Software Vulnerável e Versões Afetadas** O plugin Custom Block Builder para WordPress versões anteriores à 3.8.3 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com altos privilégios, como administradores. **Recomendações** Para versões anteriores à 3.8.3, atualize para a versão 3.8.3 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Post Timeline WordPress plugin versions prior to 2.3.10 **Description** The issue is related to a Reflected Cross-Site Scripting problem. It occurs because a parameter is not properly sanitised and escaped before being outputted back in the page. This could be exploited against high-privilege users, such as administrators. **Recommendations** For versions prior to 2.3.10, update to version 2.3.10 or later to resolve the issue.