Jrxnm

**Nome do software vulnerável e versões afetadas** O plugin Gallery para o WordPress em versões anteriores à 1.8.4.7 **Descrição** O problema está relacionado à falha em escapar o parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo. Isso pode levar a um ataque de Cross-Site Scripting refletido em navegadores antigos. **Recomendações** Para versões anteriores à 1.8.4.7, atualize para a versão 1.8.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Contact Form DB para WordPress anteriores à 1.8.0 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque o plugin não sanitiza e não escapa adequadamente alguns parâmetros antes de exibi-los novamente nos atributos. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Crowdsignal Dashboard para WordPress anteriores à 3.0.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um `parâmetro` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso permite que scripts maliciosos sejam injetados e executados. **Recomendações** Para versões anteriores à 3.0.8, atualize para a versão 3.0.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin Crowdsignal Dashboard para WordPress até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced WordPress Reset anteriores à 1.6 **Descrição** O problema diz respeito a Cross-Site Scripting refletido. Ele ocorre porque algumas URLs geradas não são escapadas corretamente antes de serem exibidas nos atributos href das páginas do painel de administração. **Recomendações** Para versões anteriores à 1.6, atualize para a versão 1.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin CAPTCHA 4WP para WordPress anteriores à 7.1.0 **Descrição** A vulnerabilidade permite que dados inseridos pelo usuário cheguem a uma chamada `require once` sensível em um dos modelos do painel de administração. Isso pode ser explorado por invasores por meio de um ataque de falsificação de solicitação entre sites (CSRF) para executar código arbitrário no servidor. **Recomendações** Para versões anteriores à 7.1.0, atualize para a versão 7.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos modelos do painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Video Lightbox para WordPress anteriores à 1.9.5 **Descrição** O problema diz respeito ao plugin WP Video Lightbox para WordPress, que não realiza a codificação adequada do parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo. Isso pode potencialmente levar a um ataque de Cross-Site Scripting refletido em navegadores mais antigos. **Recomendações** Para versões do plugin WP Video Lightbox para WordPress anteriores à 1.9.5, atualize para a versão 1.9.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Popup Anything para WordPress anteriores à 2.1.7 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido em uma página do front-end. **Recomendações** Para versões anteriores à 2.1.7, atualize para a versão 2.1.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página front-end onde o parâmetro é exibido até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced Database Cleaner para WordPress anteriores à 3.1.1 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa adequadamente várias URLs geradas antes de exibi-las nos atributos href das páginas do painel de administração. **Recomendações** Para versões anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas do painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.4.2 do plugin “Discount Rules for WooCommerce” para WordPress **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é escapado corretamente antes de ser exibido em um atributo na página de regras de desconto do plugin. **Recomendações** Para versões anteriores à 2.4.2, atualize para a versão 2.4.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 0.1.2 do plugin Contact Form 7 Captcha para WordPress **Descrição** O problema decorre da falha em escapar o parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo, o que pode levar a um ataque de Cross-Site Scripting refletido em navegadores mais antigos. **Recomendações** Para versões anteriores à 0.1.2, atualize para a versão 0.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a atributos que utilizam o parâmetro `REQUEST URI` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do plugin Download Manager para WordPress anteriores à 3.2.44 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque uma URL gerada não é devidamente escapada antes de ser exibida em um atributo do painel de histórico. Isso permite a injeção de scripts maliciosos. **Recomendações** Para versões anteriores à 3.2.44, atualize para a versão 3.2.44 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de histórico para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WooCommerce PDF Invoices & Packing Slips, versões anteriores à 2.16.0 **Descrição** A vulnerabilidade permite que invasores realizem ataques de cross-site scripting refletido devido a um parâmetro na página de configurações que não foi devidamente escapado. Isso possibilita que invasores injetem scripts maliciosos na página. **Recomendações** Para versões anteriores à 2.16.0, atualize para a versão 2.16.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.5.0 do plugin “Redirection for Contact Form 7” para WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa adequadamente um link gerado antes de exibi-lo em um atributo. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o plugin até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Ocean Extra para WordPress anteriores à 1.9.5 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa corretamente os links gerados quando o OceanWP está ativo. **Recomendações** Para versões anteriores à 1.9.5, atualize para a versão 1.9.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin XML Sitemaps para WordPress anteriores à 4.1.3 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa as configurações antes de exibi-las na página de depuração. **Recomendações** Para versões anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de depuração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Check & Log Email para WordPress anteriores à 1.0.6 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido novamente em um atributo na página de administração. **Recomendações** Para versões anteriores à 1.0.6, atualize para a versão 1.0.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin “Call Now Button” para WordPress anteriores à 1.1.2 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre quando um parâmetro não é escapado corretamente antes de ser exibido em um atributo de um campo de entrada oculto, e isso acontece quando o recurso premium está ativado. **Recomendações** Para versões do plugin Call Now Button para WordPress anteriores à 1.1.2, atualize para a versão 1.1.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso premium até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.6.3 do plugin “The Photo Gallery by 10Web” para WordPress **Descrição** O problema decorre da sanitização inadequada da variável `image url` na solicitação $ GET, que é exibida aos usuários durante a execução da ação AJAX `editimage bwg`. Isso pode levar a possíveis riscos de segurança. **Recomendações** Para versões anteriores à 1.6.3, atualize para a versão 1.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX editimage bwg até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** O plugin Photo Gallery para WordPress, versões 1.6.3 e anteriores **Descrição** O problema decorre do escape inadequado do parâmetro `filter tag` na consulta SQL, permitindo ataques de injeção de SQL. Isso ocorre quando os dados inseridos pelo usuário no parâmetro `$ POST[‘filter tag’]` são anexados diretamente a uma consulta SQL sem a devida sanitização. **Recomendações** Para as versões 1.6.3 e anteriores, atualize para uma versão posterior à 1.6.3 para resolver o problema. Como solução temporária, considere restringir o acesso à consulta SQL que utiliza o parâmetro `filter tag` até que um patch esteja disponível. Evite usar o parâmetro `filter tag` em consultas afetadas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin All In One WP Security & Firewall para WordPress anteriores à 4.4.11 **Descrição** O problema decorre da falta de validação, sanitização e escapamento do parâmetro `redirect to`, o que pode levar a problemas de redirecionamento arbitrário e Cross-Site Scripting quando o recurso Renomear Página de Login está ativo. A exploração requer conhecimento do valor da URL da Página de Login, o que é considerado difícil de adivinhar, reduzindo assim o risco. **Recomendações** Para versões anteriores à 4.4.11, atualize para a versão 4.4.11 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso “Renomear Página de Login” até que um patch esteja disponível. Restrinja o acesso à página de login para minimizar o risco de exploração. Evite usar o parâmetro `redirect to` no plugin afetado até que o problema seja resolvido.