Jeremie Amsellem

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.5 do plugin “Cryptocurrency Pricing list and Ticker” para WordPress **Descrição** O problema decorre da falha do plugin em sanitizar e escapar adequadamente o parâmetro `ccpw setpage`, levando a uma vulnerabilidade de Cross-Site Scripting refletido quando seu shortcode é incorporado em páginas. **Recomendações** Para versões anteriores à 1.5, como solução temporária, considere restringir o acesso ao shortcode que incorpora o parâmetro `ccpw setpage` até que um patch esteja disponível. Evite usar o parâmetro `ccpw setpage` nas páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin IDPay para Contact Form 7 do WordPress, versões 2.1.2 e anteriores **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting refletido. Ela ocorre porque o parâmetro `idpay error` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso permite que scripts maliciosos sejam injetados e executados. **Recomendações** Para as versões 2.1.2 e anteriores do plugin IDPay for Contact Form 7 para WordPress, considere atualizar para uma versão em que este problema tenha sido corrigido, uma vez que a versão atual não sanitiza adequadamente o parâmetro `idpay error`. Como solução temporária, considere restringir o acesso ao parâmetro `idpay error` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin MOLIE para WordPress, versões 0.5 e anteriores **Descrição** A vulnerabilidade está relacionada a um problema de Cross-Site Scripting refletido. Ela ocorre porque o parâmetro `course id` não é escapado adequadamente antes de ser exibido no painel de administração. Isso permite a injeção de scripts maliciosos. **Recomendações** Para as versões 0.5 e anteriores do plugin MOLIE para WordPress, atualize para uma versão que escape corretamente o parâmetro `course id` para evitar o Reflected Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin MOLIE para WordPress anteriores à 0.5 **Descrição** O problema decorre da falta de validação e escapamento de um parâmetro de postagem antes de seu uso em uma instrução SQL, levando a uma injeção de SQL. **Recomendações** Para versões do plugin MOLIE para WordPress anteriores à 0.5, atualize para a versão 0.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP User para WordPress anteriores à 7.0 **Descrição** O problema decorre da falta de sanitização e escapamento adequados de determinados parâmetros em páginas onde o shortcode `[wp user]` é utilizado, levando a problemas de Reflected Cross-Site Scripting. **Recomendações** Para versões anteriores à 7.0, atualize para a versão 7.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.22.7 do plugin “Backup and Staging by WP Time Capsule” para WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `error` não é devidamente sanitizado e escapado antes de ser exibido em uma página de administração. Isso permite a injeção potencial de scripts maliciosos. **Recomendações** Para versões anteriores à 1.22.7, atualize para a versão 1.22.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de administração onde o parâmetro `error` é exibido para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.4.9 do plugin Booster for WooCommerce para WordPress **Descrição** O problema decorre da falta de sanitização e escapamento do parâmetro `wcj create products xml result` no painel de administração quando o módulo Product XML Feeds está ativado, levando a uma vulnerabilidade de Cross-Site Scripting refletido. **Recomendações** Para versões anteriores à 5.4.9, atualize para a versão 5.4.9 ou posterior para resolver o problema. Como solução temporária, considere desativar o módulo Product XML Feeds até que um patch esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar o parâmetro `wcj create products xml result` no módulo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.4.9 do plugin Booster for WooCommerce para WordPress **Descrição** O problema decorre da falta de sanitização e escapamento do parâmetro `wcj notice` no painel de administração quando o módulo Pdf Invoicing está ativado, levando a um ataque de Cross-Site Scripting refletido. **Recomendações** Para versões anteriores à 5.4.9, atualize para a versão 5.4.9 ou posterior para resolver o problema. Como solução temporária, considere desativar o módulo Pdf Invoicing até que um patch esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar o parâmetro `wcj notice` no módulo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.4.9 do plugin Booster for WooCommerce para WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `wcj delete role` não é devidamente sanitizado e escapado antes de ser exibido no painel de administração quando o módulo Geral está ativado. **Recomendações** Para versões anteriores à 5.4.9, atualize para a versão 5.4.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de administração ou desativar o módulo Geral até que a atualização seja aplicada. Evite usar o parâmetro `wcj delete role` na área afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin myCred para WordPress anteriores à 1.7.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `user` não é devidamente sanitizado e escapado antes de ser exibido no painel de administração do Points Log. Isso permite que scripts maliciosos sejam injetados e executados. **Recomendações** Para versões anteriores à 1.7.8, atualize para a versão 1.7.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de administração do Points Log para minimizar o risco de exploração.