Kate Kligman

Name of the Vulnerable Software and Affected Versions Plugin Webling para WordPress versões anteriores a 3.9.1 Description O plugin Webling para WordPress é suscetível a Cross-Site Scripting Persistente devido à sanitização de entrada insuficiente, escape de saída insuficiente e verificações de capacidade ausentes nas funções `webling admin save form` e `webling admin save memberlist`. Atacantes autenticados com acesso de nível de Assinante ou superior podem injetar scripts web arbitrários em formulários e listas de membros do Webling. Esses scripts serão executados quando um administrador visualizar a área de formulário ou lista de membros correspondente dentro da interface de administração do WordPress. Recommendations Atualize o plugin Webling para a versão 3.9.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin 1 Click WordPress Migration, versões anteriores à 2.3 **Descrição** O problema está relacionado à ausência de uma verificação de permissão na função `start restore`, permitindo que atacantes autenticados com acesso de nível Subscriber ou superior façam upload de arquivos arbitrários no servidor do site afetado. Isso poderia potencialmente levar à execução remota de código. **Recomendações** Para versões até a 2.2 inclusive, atualize para a versão 2.3 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `start restore` até que um patch esteja disponível. Restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.