John Blackbourn

**Nome do Software Vulnerável e Versões Afetadas** Versões do WordPress até a 6.8.2 **Descrição** Existe uma falha no WordPress da Automattic que permite Cross-site Scripting (XSS) Armazenado. Um atacante com privilégios de usuário Autor ou superiores pode explorar essa vulnerabilidade. A vulnerabilidade decorre da neutralização inadequada de entrada durante a geração da página web. **Recomendações** Atualize o WordPress para uma versão superior à 6.8.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WordPress até a 6.8.2 **Descrição** Existe uma falha no WordPress que pode permitir a recuperação de dados sensíveis incorporados através da inserção de informações sensíveis nos dados enviados. O problema é considerado de baixa severidade e requer privilégios de nível de contribuidor para ser explorado. **Recomendações** Atualize o WordPress para uma versão posterior à 6.8.2.

**Nome do software vulnerável e versões afetadas** Versões do WordPress Core até a 6.0.2 **Descrição** A vulnerabilidade permite que usuários com acesso ao editor de posts e páginas do WordPress, normalmente Autores, Colaboradores e Editores, injetem scripts web arbitrários em posts e páginas. Esses scripts são executados se a função `the meta()` for chamada nessa página. Isso pode ser explorado por usuários com acesso ao editor, possibilitando a injeção de scripts maliciosos. **Recomendações** Para versões do WordPress Core até a 6.0.2, atualize para uma versão posterior à 6.0.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao editor de posts e páginas para minimizar o risco de exploração. Além disso, evite usar a função `the meta()` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** LiteSpeed Cache, versões 1.9 a 6.3.0.1 **Descrição** Uma falha crítica no plugin LiteSpeed Cache pode permitir que invasores obtenham acesso de administrador a sites WordPress. Esse problema afeta mais de 5 milhões de sites, deixando as empresas expostas a graves riscos de segurança. A vulnerabilidade decorre de um hash de segurança fraco no recurso de simulação de usuário do plugin, possibilitando que um invasor remoto não autenticado obtenha direitos de administrador. O hash tem apenas um milhão de valores possíveis, permitindo ataques de força bruta que podem levar de várias horas a uma semana. A vulnerabilidade está sendo ativamente explorada, com mais de 30.000 tentativas de ataque bloqueadas em apenas 24 horas. **Recomendações** Atualize para a versão 6.4 ou superior para proteger seu site. Como solução temporária, considere desativar o plugin vulnerável até que um patch esteja disponível. Restrinja o acesso ao recurso de simulação de usuário do plugin para minimizar o risco de exploração. Evite usar a funcionalidade de cache do plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Geek Code Lab Login As Users, versões 1.4.2 e anteriores **Descrição** O problema está relacionado ao gerenciamento inadequado de privilégios, permitindo a escalada de privilégios. Isso pode ser explorado no recurso “Login As Users”. **Recomendações** Para as versões 1.4.2 e anteriores, atualize para uma versão posterior à 1.4.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do WordPress Core 6.0 a 6.0.7 Versões do WordPress Core 6.1 a 6.1.5 Versões do WordPress Core 6.2 a 6.2.4 Versões do WordPress Core 6.3 a 6.3.3 Versões do WordPress Core 6.4 a 6.4.3 Versões do WordPress Core 6.5 a 6.5.2 Descrição: O problema está relacionado a uma falha de Cross-Site Scripting (XSS) armazenada no WordPress Core, especificamente no bloco Avatar. Essa vulnerabilidade permite que invasores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A falha se deve a uma escapada de saída insuficiente no nome de exibição. Tanto invasores não autenticados quanto autenticados podem explorar essa vulnerabilidade em diversas circunstâncias. Recomendações: Para as versões 6.0 a 6.0.7 do WordPress Core, atualize para uma versão posterior à 6.0.7 ou desative o bloco Avatar até que um patch esteja disponível. Para as versões 6.1 a 6.1.5 do WordPress Core, atualize para uma versão posterior à 6.1.5 ou desative o bloco Avatar até que um patch esteja disponível. Para as versões 6.2 a 6.2.4 do WordPress Core, atualize para uma versão posterior à 6.2.4 ou desative o bloco Avatar até que um patch esteja disponível. Para as versões do WordPress Core 6.3 a 6.3.3, atualize para uma versão posterior à 6.3.3 ou desative o bloco Avatar até que uma correção esteja disponível. Para as versões do WordPress Core 6.4 a 6.4.3, atualize para uma versão posterior à 6.4.3 ou desative o bloco Avatar até que uma correção esteja disponível. Para as versões do WordPress Core 6.5

**Name of the Vulnerable Software and Affected Versions** WordPress versions prior to 4.5.3 **Description** The issue concerns the oEmbed protocol implementation, allowing remote attackers to cause a denial of service via unspecified vectors. **Recommendations** For versions prior to 4.5.3, update to version 4.5.3 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WordPress versions prior to 4.5.3 **Description** The issue allows remote attackers to bypass the sanitize file name protection mechanism. **Recommendations** For versions prior to 4.5.3, update to version 4.5.3 or later to resolve the issue.