John Jefferson Li

**Nome do software vulnerável e versões afetadas** Versões do plugin Popup Box para WordPress anteriores à 20.9.0 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting mesmo quando a opção `unfiltered html` está desativada, devido ao fato de o plugin não sanitizar e escapar alguns de seus parâmetros. **Recomendações** Para versões anteriores à 20.9.0, atualize para a versão 20.9.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do plugin Support Board para WordPress anteriores à 3.3.5 Descrição: A vulnerabilidade permite que usuários autenticados com permissões de Agent+ realizem ataques de Cross-Site Scripting (XSS) ao inserir uma carga maliciosa no campo `notes`. Quando um administrador ou qualquer usuário autenticado acessa o chat, a carga XSS será executada automaticamente. Recomendações: Para versões anteriores à 3.3.5, atualize para a versão 3.3.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao campo `notes` para usuários Agent+ até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Versões do plugin Support Board para WordPress anteriores à 3.3.4 Descrição: O problema diz respeito a injeções SQL que podem ser exploradas por usuários não autenticados devido à falha em escapar vários parâmetros POST, como `status code`, `department`, `user id`, `conversation id`, `conversation status code` e `recipient id`, antes de usá-los em instruções SQL. Recomendações: Para versões anteriores à 3.3.4, atualize para a versão 3.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.