Karolina Jankowska

**Nome do Software Vulnerável e Versões Afetadas** O plugin The MarketKing — Ultimate WooCommerce Multivendor Marketplace Solution para WordPress, versões até e incluindo a 1.9.80 **Descrição** O problema está relacionado a Cross-Site Scripting Armazenado através das configurações do plugin, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com permissões de nível Shop Manager ou superiores injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multissite e instalações onde o unfiltered html foi desativado. **Recomendações** Para versões até e incluindo a 1.9.80, atualize para uma versão que corrija a questão de sanitização de entrada e escape de saída insuficientes. Como solução alternativa temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Opal Membership para o WordPress, versões até e incluindo a 1.2.4 **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior visualizem notas privadas que deveriam ser restritas aos administradores. Isso é possível devido ao uso dos comentários do WordPress na funcionalidade de notas privadas relacionadas a pagamentos. **Recomendações** Para o plugin Opal Membership para versões do WordPress até e incluindo a 1.2.4, considere restringir o acesso à funcionalidade de notas privadas para minimizar o risco de exposição de informações confidenciais até que uma correção esteja disponível. Como solução temporária, restrinja o uso de comentários do WordPress para notas privadas a fim de impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Plugin Opal Membership para o WordPress, versões até a 1.2.4, inclusive **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado por meio dos campos do formulário de checkout, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para o plugin Opal Membership para versões do WordPress até a 1.2.4, inclusive, atualize para uma versão posterior à 1.2.4 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.