Jarno Vos

**Name of the Vulnerable Software and Affected Versions** ThemeHunk Gutenberg Blocks versions through 1.2.8 **Description** A flaw exists in ThemeHunk Gutenberg Blocks that allows for Reflected Cross-Site Scripting (XSS). This issue is due to improper neutralization of input during web page generation. The vulnerability could potentially allow an attacker to inject malicious scripts into web pages viewed by users. The affected API endpoints and vulnerable parameters were not specified. **Recommendations** Update ThemeHunk Gutenberg Blocks to a version later than 1.2.8.

**Name of the Vulnerable Software and Affected Versions** Dotstore Fraud Prevention For Woocommerce versions through 2.3.3 **Description** An authorization issue exists in Dotstore Fraud Prevention For Woocommerce due to incorrectly configured access control security levels. This allows for exploitation of the system. **Recommendations** Update Dotstore Fraud Prevention For Woocommerce to a version later than 2.3.3.

**Name of the Vulnerable Software and Affected Versions** Dotstore Fraud Prevention For Woocommerce versions n/a through 2.3.1 **Description** A flaw exists in Dotstore Fraud Prevention For Woocommerce that allows retrieval of embedded sensitive data, potentially exposing system information to unauthorized parties. **Recommendations** Update Dotstore Fraud Prevention For Woocommerce to a version newer than 2.3.1.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Audiomack até a 1.4.8 **Descrição** O Audiomack está suscetível a um problema de cross-site scripting (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. Isso permite ataques de XSS armazenado. O problema envolve o potencial de scripts maliciosos serem armazenados e executados dentro do aplicativo, impactando potencialmente os usuários que interagem com o conteúdo afetado. O endpoint da API e os parâmetros vulneráveis não são especificados. **Recomendações** Atualize o Audiomack para uma versão posterior à 1.4.8.

**Name of the Vulnerable Software and Affected Versions** Curator.Io versions through 1.9.5 **Description** A flaw exists in Curator.Io that allows for Stored Cross-site Scripting (XSS). This issue involves improper neutralization of input during web page generation. The vulnerability could potentially allow an attacker to inject malicious scripts into web pages viewed by other users. **Recommendations** Update Curator.Io to a version later than 1.9.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mobile Builder até a 1.4.2 **Descrição** O Mobile Builder está suscetível a um bypass de autenticação, permitindo o abuso da autenticação. Isso permite que atacantes obtenham controle total sem credenciais válidas. O problema diz respeito a um mecanismo de autenticação completamente falho dentro do plugin WordPress Mobile Builder, possibilitando acesso remoto trivial. **Recomendações** Atualize o Mobile Builder para uma versão posterior à 1.4.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do 6Storage anteriores à 2.20.0 **Descrição** Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) no 6Storage Rentals. Este problema permite a realização de Server Side Request Forgery. **Recomendações** Atualize o 6Storage para a versão 2.20.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** O plugin The BigBuy Dropshipping Connector for WooCommerce para WordPress, versões até e incluindo a 2.0.5 **Descrição** O software é suscetível à Falsificação de Endereço IP devido à validação inadequada de endereço IP e à dependência de cabeçalhos HTTP fornecidos pelo usuário para recuperação do endereço IP. Isso permite que atacantes não autenticados recuperem a saída da função `phpinfo()`. **Recomendações** Atualize o plugin The BigBuy Dropshipping Connector for WooCommerce para uma versão superior à 2.0.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Plugin Blappsta Mobile App anteriores a 0.8.8.9 **Descrição** O Plugin Blappsta Mobile App para WordPress é suscetível a Injeção de SQL devido à sanitização de entrada e preparação de consulta inadequadas. Especificamente, a função `nh ynaa comments()` não realiza o escape suficiente dos parâmetros fornecidos pelo usuário, permitindo que atacantes injetem consultas SQL maliciosas. Isso pode permitir que atacantes não autenticados extraiam informações sensíveis do banco de dados, anexando consultas SQL adicionais às existentes. **Recomendações** Atualize para a versão 0.8.8.9 ou posterior.

Name of the Vulnerable Software and Affected Versions: Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection plugin for WordPress versions through 11.58 Description: The plugin is susceptible to unauthorized data access due to an inadequate capability check within the `stopbadbots check wordpress logged in cookie` function. This allows unauthenticated attackers to circumvent security measures such as blocklists and rate limits. Recommendations: Update the plugin to a version beyond 11.58.