Jack_Sparrow

**Nome do Software Vulnerável e Versões Afetadas** Plugin Easy Digital Downloads – Pagamentos de eCommerce e Assinaturas simplificados para WordPress, versões até e incluindo a 3.3.2 **Descrição** O problema está relacionado ao Cross-Site Scripting (XSS) Armazenado através do valor `Title`, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com privilégios de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta instalações multisite e instalações onde o `unfiltered html` foi desativado. **Recomendações** Para versões até e incluindo a 3.3.2, atualize para uma versão superior à 3.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao campo de entrada do valor `Title` para minimizar o risco de exploração. Restrinja o acesso a páginas que possam conter scripts injetados para prevenir a execução.

**Nome do software vulnerável e versões afetadas** Easy Digital Downloads – plugin para WordPress “eCommerce Payments and Subscriptions made easy”, versões até 3.3.2 **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior leiam o conteúdo de arquivos arbitrários no servidor por meio da funcionalidade de download de arquivos. Isso pode expor informações confidenciais. **Recomendações** Para versões até 3.3.2, atualize para uma versão superior à 3.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de download de arquivos até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Plugin “Reviews Feed – Add Testimonials and Customer Reviews From Google Reviews, Yelp, TripAdvisor, and More” para o WordPress, versões 1.1.2 e anteriores Descrição: O problema está relacionado à falta de uma verificação de permissão na função `update api key`, permitindo que invasores autenticados com acesso de nível “Assinante” ou superior atualizem as opções da chave API. Isso possibilita que invasores modifiquem dados sem a devida autorização. Recomendações: Para as versões 1.1.2 e anteriores, atualize o plugin imediatamente para corrigir a falha. Como solução temporária, considere restringir o acesso à função `update api key` até que uma correção esteja disponível.

Nome do software vulnerável e versões afetadas: Plugin “Reviews Feed – Add Testimonials and Customer Reviews From Google Reviews, Yelp, TripAdvisor, and More” para o WordPress, versões até e incluindo a 1.1.2 Descrição: O problema se deve à falta ou à validação incorreta do nonce na função `update api key`, possibilitando que invasores não autenticados atualizem uma chave de API por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link. Isso permite que invasores realizem ações indesejadas em nome dos usuários. Recomendações: Para versões até e incluindo a 1.1.2, atualize imediatamente para uma versão corrigida para resolver o problema. Além disso, verifique os logs em busca de sinais de exploração. Como solução temporária, considere restringir o acesso à função `update api key` até que uma correção esteja disponível.