Kaique Peres

**Nome do Software Vulnerável e Versões Afetadas** Plugin Buddyboss Platform para WordPress, versões até e incluindo a 2.8.50 **Descrição** O problema está relacionado ao Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes, permitindo que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários nas páginas. Isso pode ser feito por meio do parâmetro `invitee name`. A vulnerabilidade foi parcialmente corrigida na versão 2.8.41. **Recomendações** Para versões até e incluindo a 2.8.50, atualize para uma versão que resolva completamente o problema, pois a versão 2.8.41 apenas corrige parcialmente a vulnerabilidade. Como medida temporária de contorno, considere restringir o acesso ao parâmetro `invitee name` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Buddyboss Platform plugin for WordPress versions prior to 2.8.51 **Description** The issue is related to Stored Cross-Site Scripting due to insufficient input sanitization and output escaping in the `bp nouveau ajax media save` function. This allows authenticated attackers with Subscriber-level access and above to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. **Recommendations** For versions up to and including 2.8.50, update to version 2.8.51 or later to resolve the issue. As a temporary workaround, consider restricting access to the media upload function to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Buddyboss Platform para WordPress versões até e incluindo a 2.8.50 **Descrição** O problema está relacionado a Cross-Site Scripting Armazenado devido à sanitização de entrada e escapamento de saída insuficientes, especificamente via o parâmetro `bbp topic title`. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários em páginas, que serão executados quando um usuário acessar uma página injetada. **Recomendações** Para versões até e incluindo a 2.8.50, atualize para uma versão posterior à 2.8.50 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `bbp topic title` para minimizar o risco de exploração.