Jinson Varghese Behanan

**Nome do software vulnerável e versões afetadas** Versões do Cervantes até a 0.5-alpha **Descrição** A vulnerabilidade permite um ataque XSS armazenado. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões até 0.5-alpha, atualize para uma versão que inclua uma correção para esta vulnerabilidade, uma vez que não são fornecidas medidas de mitigação específicas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Cervantes até a 0.5-alpha **Descrição** A vulnerabilidade permite o envio inseguro de arquivos. **Recomendações** Para as versões até a 0.5-alpha, considere restringir a funcionalidade de envio de arquivos até que uma versão segura esteja disponível. Como solução alternativa temporária, restrinja o acesso aos recursos de envio de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do plugin Cooked Pro para WordPress anteriores à 1.7.5.6 Descrição: O problema está relacionado a um ataque de Cross-Site Scripting refletido não autenticado, causado pela sanitização inadequada das entradas do usuário. Essas entradas são então exibidas nas páginas como um atributo arbitrário, permitindo a execução potencial de scripts maliciosos. Recomendações: Para versões anteriores à 1.7.5.6, atualize para a versão 1.7.5.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do plugin Ivory Search para WordPress anteriores à 4.6.1 Descrição: O problema decorre da sanitização inadequada do parâmetro `tab` na página Formulários de Pesquisa, levando a uma vulnerabilidade de Cross-Site Scripting refletido. Isso pode ocorrer quando um usuário com privilégios elevados abre um link criado de forma maliciosa. O ataque requer o conhecimento do ID do formulário. Recomendações: Para versões anteriores à 4.6.1, atualize para a versão 4.6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página Formulários de Pesquisa para usuários com privilégios elevados até que a atualização seja aplicada. Evite usar o parâmetro `tab` na página afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Sistema de Faturamento Online (OIS), versões 4.3 e anteriores Descrição: Uma vulnerabilidade de injeção de CSV permite que usuários realizem ações maliciosas, como redirecionar administradores para sites desconhecidos ou prejudiciais, ou divulgar detalhes de outros clientes aos quais o usuário não tinha acesso. Recomendações: Para as versões 4.3 e anteriores, atualize para uma versão superior à 4.3 para resolver o problema. Como solução temporária, considere restringir o acesso a detalhes confidenciais de clientes e implementar medidas de segurança adicionais para impedir o redirecionamento para sites prejudiciais.

**Nome do software vulnerável e versões afetadas** Versões do Contact Form 7 anteriores à 5.3.2 **Descrição** O problema está relacionado a uma vulnerabilidade de upload de arquivos sem restrições no plugin Contact Form 7 para WordPress, que pode levar à execução remota de código. Isso ocorre porque um nome de arquivo pode conter caracteres especiais. A vulnerabilidade afeta mais de 5 milhões de instalações ativas. Ela permite que um invasor envie arquivos de qualquer tipo e execute código arbitrário. **Recomendações** Para versões anteriores à 5.3.2, atualize para a versão 5.3.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o envio de arquivos para impedir a exploração até que a atualização seja aplicada. Evite usar nomes de arquivos que contenham caracteres especiais no plugin afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Genexis Platinum 4410 V2 versão 2.1 (versão do software P4410-V2-1.28) **Descrição** A vulnerabilidade permite a alteração remota da senha do Wi-Fi devido a falhas no controle de acesso e CSRF. Isso poderia ser potencialmente explorado para obter acesso não autorizado à rede Wi-Fi. **Recomendações** Para o Genexis Platinum 4410 V2 versão 2.1 (versão de software P4410-V2-1.28), como solução temporária, considere desativar o acesso remoto à configuração do roteador até que uma correção esteja disponível. Restrinja o acesso à interface web do roteador para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do tema Journal do OpenCart anteriores à 3.1.0 **Descrição** A vulnerabilidade permite a exposição de dados confidenciais por meio de erros de SQL. **Recomendações** Para versões anteriores à 3.1.0, atualize para a versão 3.1.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin SeedProd coming-soon anteriores à 5.1.1 **Descrição** A vulnerabilidade permite ataques XSS. **Recomendações** Para versões anteriores à 5.1.1, atualize para a versão 5.1.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin WPForms Contact Form anteriores à 1.5.9 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no plugin WPForms Contact Form para WordPress. Isso permite que scripts maliciosos sejam armazenados e executados no site. **Recomendações** Para versões anteriores à 1.5.9, atualize para a versão 1.5.9 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin “Export Users to CSV” anteriores à 1.4.3 **Descrição** A vulnerabilidade permite a injeção de CSV. **Recomendações** Para as versões do plugin “Export Users to CSV” anteriores à 1.4.3, atualize para a versão 1.4.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Tutor LMS anteriores à 1.5.3 **Descrição** Uma vulnerabilidade CSRF pode permitir que um invasor se autodesigne como instrutor e realize outras ações maliciosas, como bloquear instrutores legítimos. **Recomendações** Para versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Strong Testimonials anteriores à 2.40.1 **Descrição** A vulnerabilidade permite que um invasor execute ações maliciosas, como roubar tokens de sessão, explorando uma vulnerabilidade Stored XSS no plugin Strong Testimonials para WordPress. **Recomendações** Para versões anteriores à 2.40.1, atualize para a versão 2.40.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin LearnDash LMS anteriores à 3.1.2 **Descrição** A vulnerabilidade permite um ataque XSS através do campo de pesquisa `ld-profile`. **Recomendações** Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema.