Jordy Versmissen

**Name of the Vulnerable Software and Affected Versions** WP Statistics versions prior to 13.2.9 **Description** The issue allows authenticated users to perform SQL Injection attacks due to a parameter not being escaped. By default, the affected feature is available to users with the manage options capability, which includes administrators and above. However, the plugin has a setting that can allow low-privilege users to access this feature as well. **Recommendations** For versions prior to 13.2.9, update to version 13.2.9 or later to resolve the issue. As a temporary workaround, consider restricting access to the affected feature to only high-privilege users by disabling the setting that allows low-privilege users to access it.

**Nome do software vulnerável e versões afetadas** Versões do Grafana 8.0.0-beta1 a 8.3.0 **Descrição** O Grafana está sujeito a uma vulnerabilidade de traversal de diretório, permitindo que invasores acessem arquivos locais. O caminho da URL vulnerável é: `<grafana host url>/public/plugins/<plugin-id>/`, onde <plugin-id> é o ID do plugin para qualquer plugin instalado. Vários relatórios indicam um ressurgimento de tentativas de exploração, com invasores visando sistemas internacionalmente, incluindo infraestruturas críticas. A vulnerabilidade permite o acesso não autorizado a arquivos locais, expondo potencialmente dados confidenciais. A vulnerabilidade pode ser explorada por meio de solicitações HTTP especificamente criadas. **Recomendações** Atualize o Grafana para a versão 8.0.7, 8.1.8, 8.2.7 ou 8.3.1 o mais rápido possível. Se a atualização não for viável, implemente um proxy reverso na frente do Grafana para normalizar o PATH da solicitação, como usar a configuração `normalize path` no Envoy.

**Nome do software vulnerável e versões afetadas** Biblioteca Kubernetes Java Client (versões afetadas não especificadas) **Descrição** O carregamento de um arquivo YAML especialmente criado com a biblioteca Kubernetes Java Client pode levar à execução de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.