Huli

**Nome do software vulnerável e versões afetadas** E4J s.r.l. VikBooking Hotel Booking Engine & PMS plugin, versão 1.5.3 e anteriores **Descrição** A vulnerabilidade permite o upload arbitrário de arquivos, levando à execução remota de código (RCE) por meio do upload de assinatura no formulário de reserva, possibilitando que invasores enviem e executem tipos de arquivos perigosos, como shells PHP. **Recomendações** Para as versões 1.5.3 e anteriores, atualize para uma versão posterior à 1.5.3 para resolver o problema. Como solução temporária, considere desativar o recurso de upload de assinatura no formulário de reserva até que um patch esteja disponível. Restrinja o acesso ao formulário de reserva para minimizar o risco de exploração. Evite usar o plugin vulnerável até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** E4J s.r.l. VikBooking Hotel Booking Engine & PMS plugin, versões <= 1.5.3 **Descrição** A vulnerabilidade permite que invasores obtenham dados de reservas adivinhando ou utilizando força bruta em IDs de reserva facilmente previsíveis por meio de solicitações POST de pesquisa para pontos de extremidade da API, como `/api/search`. A variável `booking id` está vulnerável a esse tipo de ataque. Isso pode levar à exposição de informações confidenciais. **Recomendações** Para as versões <= 1.5.3 do plugin E4J s.r.l. VikBooking Hotel Booking Engine & PMS, atualize para uma versão superior a 1.5.3 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de pesquisa para minimizar o risco de exploração. Evite usar valores `booking id` facilmente previsíveis no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** As versões anteriores à 7.6.3 dos plugins “Salon Booking System Free” e “Salon Booking System Pro” para WordPress **Descrição** A vulnerabilidade permite que usuários não autenticados pesquisem reservas de outras pessoas e obtenham informações confidenciais, incluindo nome completo, e-mail e número de telefone da pessoa que fez a reserva, devido a uma autorização inadequada durante a pesquisa de reservas. **Recomendações** Para versões anteriores à 7.6.3, atualize para a versão 7.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de pesquisa de reservas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** As versões anteriores à 7.6.3 dos plugins “Salon booking system Free” e “Salon booking system Pro” para WordPress **Descrição** O problema está relacionado à autorização inadequada em alguns pontos de extremidade do plugin, o que poderia permitir que clientes acessassem todas as reservas e dados de outros clientes. **Recomendações** Para versões anteriores à 7.6.3, atualize para a versão 7.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade afetados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do plugin Booking Package para WordPress anteriores à 1.5.29 **Descrição** A vulnerabilidade permite que usuários não autenticados obtenham dados confidenciais devido à divulgação de um token utilizado para exportar a representação ical do calendário de reservas. Esse token é retornado na resposta JSON quando um usuário não autenticado realiza uma reserva. **Recomendações** Para versões anteriores à 1.5.29, atualize para a versão 1.5.29 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Amelia para WordPress anteriores à 1.0.49 **Descrição** O problema diz respeito à falta de autorização adequada durante o gerenciamento de agendamentos. Isso permite que qualquer cliente altere o status de agendamento de outras pessoas e obtenha informações confidenciais sobre os agendamentos, incluindo o nome completo e o número de telefone da pessoa que fez o agendamento. **Recomendações** Para versões anteriores à 1.0.49, atualize para a versão 1.0.49 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos recursos de gerenciamento de agendamentos para minimizar o risco de atualizações não autorizadas ou recuperação de dados.

**Nome do software vulnerável e versões afetadas** Versões do plugin Amelia para WordPress anteriores à 1.0.48 **Descrição** A vulnerabilidade permite que qualquer usuário envie notificações SMS de teste pagas e obtenha informações confidenciais sobre o administrador, como e-mail, saldo da conta e histórico de pagamentos. Um invasor pode se aproveitar disso para esvaziar o saldo da conta enviando notificações SMS. **Recomendações** Para versões anteriores à 1.0.48, atualize para a versão 1.0.48 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao serviço de SMS do Amelia para impedir o uso não autorizado.

**Nome do software vulnerável e versões afetadas** Plugin Amelia para WordPress, versão 1.0.46 e anteriores **Descrição** A falha permite que qualquer usuário altere as reservas de outras pessoas e obtenha informações confidenciais sobre as reservas, como o nome completo e o número de telefone da pessoa que fez a reserva, devido a uma autorização inadequada durante o gerenciamento de agendamentos. **Recomendações** Para o plugin Amelia para WordPress versão 1.0.46 e anteriores, atualize para a versão 1.0.47 ou posterior para resolver o problema.