Joshua Martinelle

**Nome do software vulnerável e versões afetadas** Plugin Project Manager para WordPress (versões afetadas não especificadas) **Descrição** O problema é uma vulnerabilidade de injeção SQL autenticada no parâmetro `orderby` no endpoint da API “/pm/v2/activites”. Essa vulnerabilidade afeta o plugin “Project Manager” do WordPress. **Recomendações** Como solução temporária, considere desativar o parâmetro `orderby` na rota “/pm/v2/activites” até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API “/pm/v2/activites” para minimizar o risco de exploração. Evite usar o parâmetro `orderby` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Flowise anteriores à 2.1.1 Versões do Flowise Chat Embed anteriores à 2.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Stored Cross-Site (XSS) devido à falta de sanitização de entradas. **Recomendações** Para versões do Flowise anteriores à 2.1.1, atualize para a versão 2.1.1 ou posterior para resolver o problema. Para versões do Flowise Chat Embed anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Flowise versão 1.8.2 Descrição: Existe uma vulnerabilidade de negação de serviço (DoS) sem autenticação no Flowise, levando à falha total da instância que executa uma versão vulnerável devido ao tratamento inadequado das entradas fornecidas pelo usuário no endpoint da API “/api/v1/get-upload-file”. Recomendações: Para o Flowise versão 1.8.2, como solução temporária, considere restringir o acesso ao endpoint da API “/api/v1/get-upload-file” até que uma correção esteja disponível. Além disso, evite usar esse endpoint com entradas de usuários não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do DevikaAI a partir do commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2 **Descrição** Existe uma vulnerabilidade de cross-site scripting armazenado devido à decodificação inadequada de entradas do usuário. Isso permite o armazenamento e a subsequente execução de scripts maliciosos, podendo levar a ações não autorizadas em nome do usuário. **Recomendações** Para versões a partir do commit 6acce21fb08c3d1123ef05df6a33912bf0ee77c2, considere implementar a decodificação e validação adequadas das entradas para impedir o armazenamento de scripts maliciosos. Como solução temporária, restrinja as entradas do usuário para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Langflow anteriores à 1.0.13 **Descrição** A vulnerabilidade permite que um invasor remoto com poucos privilégios obtenha privilégios de superadministrador ao realizar uma solicitação de atribuição em massa no endpoint “/api/v1/users”. **Recomendações** Para versões do Langflow anteriores à 1.0.13, atualize para a versão 1.0.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/api/v1/users” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do WordPress RSS Aggregator anteriores à 4.23.9 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS). Essa vulnerabilidade é causada pela falta de sanitização do parâmetro GET `notice id`. **Recomendações** Para versões anteriores à 4.23.9, atualize para a versão 4.23.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `notice id` no endpoint afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Solidus anteriores à 4.3.5 **Descrição** O problema está relacionado a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na URL de rastreamento de pedidos. **Recomendações** Para versões anteriores à 4.3.5, atualize para a versão 4.3.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** HTML5 Video Player versão < 2.5.25 **Descrição** O problema é uma vulnerabilidade de injeção de SQL sem autenticação. Ela afeta o parâmetro `id` na função `get view`. **Recomendações** Para versões < 2.5.25, atualize para a versão 2.5.25 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `get view` até que um patch esteja disponível. Evite usar o parâmetro `id` na função afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Appwrite anteriores à v1.4.14 **Descrição** O problema está relacionado a uma falsificação de solicitação do lado do servidor (SSRF) que pode ser explorada por meio do endpoint “/v1/avatars/favicon”. Isso se deve a uma correção incompleta de um problema identificado anteriormente. **Recomendações** Para versões anteriores à v1.4.14, atualize para a versão v1.4.14 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/v1/avatars/favicon” até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** My Calendar WordPress Plugin version < 3.4.22 **Description** The issue is related to an unauthenticated SQL injection vulnerability. This vulnerability is present in the `from` and `to` parameters in the "/my-calendar/v1/events" rest route. It allows a remote attacker to execute arbitrary SQL queries to the database. **Recommendations** For My Calendar WordPress Plugin version < 3.4.22, update to version 3.4.22 or later to resolve the issue. As a temporary workaround, consider restricting access to the "/my-calendar/v1/events" API endpoint until a patch is available. Avoid using the `from` and `to` parameters in the affected API endpoint until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Craft CMS versions <= 4.4.11 **Description** A post-authentication stored cross-site scripting issue exists, allowing HTML, including script tags, to be injected into field names. This injection triggers when users visit the Categories or Entries pages after the field is added to a category or section. **Recommendations** For Craft CMS versions <= 4.4.11, update to version 4.4.12 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WP Popup Banners WordPress Plugin version <= 1.2.5 **Description** The issue is an authenticated SQL injection vulnerability. It affects the `value` parameter in the `get popup data` action. **Recommendations** For WP Popup Banners WordPress Plugin version <= 1.2.5, consider updating to a version greater than 1.2.5 to resolve the issue. As a temporary workaround, restrict access to the `get popup data` action to minimize the risk of exploitation. Avoid using the `value` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Formidable PRO2PDF WordPress Plugin versions prior to 3.11 **Description** The issue is an authenticated SQL injection vulnerability. It affects the `fieldmap` parameter in the `fpropdf export file` action. **Recommendations** For versions prior to 3.11, update to version 3.11 or later to resolve the issue. As a temporary workaround, consider restricting access to the `fpropdf export file` action to minimize the risk of exploitation. Avoid using the `fieldmap` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Meta Data and Taxonomies Filter WordPress plugin versions prior to 1.3.1 **Description** The issue is a reflected cross-site scripting vulnerability in the `tax name` parameter of the mdf get tax options in widget action. This can only be triggered by an authenticated user. **Recommendations** For versions prior to 1.3.1, update to version 1.3.1 or later to resolve the issue. As a temporary workaround, consider restricting access to the mdf get tax options in widget action to minimize the risk of exploitation. Avoid using the `tax name` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** The Lead Generated WordPress Plugin version <= 1.23 **Description** The issue is related to an unauthenticated insecure deserialization problem. The `tve labels` parameter of the `tve api form submit` action is passed to the PHP `unserialize()` function without proper sanitization or verification. This could lead to PHP object injection, which, when combined with specific class implementations or gadget chains, and a POP chain, could be used to perform various malicious actions. **Recommendations** For The Lead Generated WordPress Plugin version <= 1.23, consider updating to a version that fixes this issue, as using the `unserialize()` function without proper input validation poses a significant risk. As a temporary workaround, consider restricting access to the `tve api form submit` action to minimize the risk of exploitation. Avoid using the `tve labels` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Events Made Easy WordPress Plugin version <= 2.3.14 **Description** The issue is an authenticated SQL injection vulnerability. It affects the `search name` parameter in the `eme recurrences list` action. **Recommendations** For Events Made Easy WordPress Plugin version <= 2.3.14, update to a version greater than 2.3.14 to resolve the issue. As a temporary workaround, consider restricting access to the `eme recurrences list` action to minimize the risk of exploitation. Avoid using the `search name` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** BuddyForms WordPress plugin versions prior to 2.7.8 **Description** The issue is related to an unauthenticated insecure deserialization problem. An attacker could exploit this to call files using a PHAR wrapper, which deserializes data and calls arbitrary PHP Objects. This can be used for malicious actions if a POP chain is also present. **Recommendations** For versions prior to 2.7.8, update to version 2.7.8 or later to resolve the issue. As a temporary workaround, consider restricting access to the plugin's deserialization functionality until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Login with Phone Number WordPress Plugin version < 1.4.2 **Description** The issue is related to an authenticated SQL injection vulnerability in the `lwp forgot password` action. Specifically, the vulnerability is associated with the lack of protection measures for the SQL query structure, which can be exploited by a remote attacker to execute arbitrary code. The `ID` parameter of the `lwp forgot password` action is vulnerable. **Recommendations** For Login with Phone Number WordPress Plugin version < 1.4.2, update to version 1.4.2 or later to resolve the issue. As a temporary workaround, consider restricting access to the `lwp forgot password` action until a patch is available. Avoid using the `ID` parameter in the affected action until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Quick Event Manager WordPress Plugin version prior to 9.7.5 **Description** The issue is related to a reflected cross-site scripting vulnerability. It affects the `category` parameter of the `qem ajax calendar` action. This vulnerability can be exploited by a remote attacker to conduct a cross-site scripting (XSS) attack, potentially due to insufficient protection of the webpage structure. **Recommendations** For versions prior to 9.7.5, update to version 9.7.5 or later to resolve the issue. As a temporary workaround, consider restricting access to the `qem ajax calendar` action or avoiding the use of the `category` parameter in this action until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Woo Bulk Price Update WordPress plugin versions prior to 2.2.2 **Description** The issue is related to a reflected cross-site scripting vulnerability. It is triggered by the `page` parameter to the `techno get products` action and can only be exploited by an authenticated user. This vulnerability exists due to insufficient protection of the web page structure, allowing a remote attacker to conduct cross-site scripting attacks. **Recommendations** For versions prior to 2.2.2, update to version 2.2.2 or later to resolve the issue. As a temporary workaround, consider restricting access to the `techno get products` action to minimize the risk of exploitation. Avoid using the `page` parameter in the affected action until the issue is resolved.