Jörgson

**Name of the Vulnerable Software and Affected Versions** WPMU DEV Forminator versions 1.14.11 and earlier **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting (XSS). This allows for Stored XSS attacks. The vulnerability can be exploited without authentication, enabling Unauth. Stored Cross-Site Scripting (XSS) attacks. **Recommendations** For versions 1.14.11 and earlier, update to a version later than 1.14.11 to resolve the issue. As a temporary workaround, consider restricting access to the Forminator plugin until a patch is available. Avoid using the Forminator plugin for sensitive operations until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Plugin Simple SEO para o WordPress até a versão 1.7.91, inclusive **Descrição** O problema está relacionado a um ataque Cross-Site Scripting (XSS) armazenado baseado em atributos, devido à sanitização ou escape insuficientes nos parâmetros `SEO social` e `standard title`. Isso pode ser explorado por usuários autenticados com permissões de Colaborador ou superiores para injetar scripts web arbitrários em posts/páginas que são executados sempre que um administrador acessa a página. **Recomendações** Para o plugin Simple SEO para versões do WordPress até e incluindo a 1.7.91, atualize para uma versão que inclua sanitização ou escape adequados dos parâmetros `SEO social` e `standard title` para evitar Cross-Site Scripting. Como solução temporária, considere restringir o acesso aos parâmetros `SEO social` e `standard title` para usuários com permissões de Colaborador ou superiores até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin weDevs WP Project Manager, versões <= 2.4.13 **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com certos privilégios, como um assinante ou uma função de usuário superior, pode injetar scripts maliciosos no aplicativo, que são então armazenados e executados pelo aplicativo, afetando potencialmente outros usuários. **Recomendações** Para as versões do plugin weDevs WP Project Manager <= 2.4.13, atualize para uma versão superior à 2.4.13 para resolver o problema.

**Nome do software vulnerável e versões afetadas** AGCA - Absolutely Glamorous Custom Admin (plugin do WordPress) versões n/a a 6.8 **Descrição** A vulnerabilidade afeta o plugin AGCA - Absolutely Glamorous Custom Admin do WordPress, permitindo um ataque Stored XSS devido à neutralização inadequada de entradas durante a geração da página web. Isso pode ocorrer por meio de campos de entrada não sanitizados nas configurações do plugin. Algumas cargas maliciosas podem tornar o front-end e o back-end inacessíveis. **Recomendações** Para as versões n/a a 6.8, atualize para uma versão posterior à 6.8 para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar campos de entrada não sanitizados nas configurações do plugin até que o problema seja resolvido.