Kauenavarro

Nome do software vulnerável e versões afetadas: MC4WP: plugin Mailchimp for WordPress para as versões 4.9.9 a 4.9.16 do WordPress Descrição: O problema está relacionado a Cross-Site Scripting refletido (XSS) por meio do parâmetro `email` quando um placeholder como {email} é usado no campo. Isso se deve à sanitização insuficiente de entradas e à falta de escapamento de saídas, possibilitando que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. Recomendações: Para as versões 4.9.9 a 4.9.16, considere desativar o uso do parâmetro `email` com placeholders até que um patch esteja disponível. Restrinja o acesso a páginas que usam o parâmetro `email` para minimizar o risco de exploração. Evite usar o parâmetro `email` em campos afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tema Phlox PRO para o WordPress, versões até a 5.16.4, inclusive **Descrição** O problema está relacionado a Cross-Site Scripting refletido por meio de parâmetros de pesquisa, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 5.16.4, inclusive, atualize para uma versão posterior à 5.16.4 para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros de pesquisa para minimizar o risco de exploração. Evite usar parâmetros de pesquisa em links ou formulários até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do plugin wp-eMember para WordPress anteriores à 10.6.6 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. Recomendações: Para versões anteriores à 10.6.6, atualize para a versão 10.6.6 ou posterior para resolver o problema.

Nome do software vulnerável e versões afetadas: O plugin “The Events Manager – Calendar, Bookings, Tickets, and more!” para versões do WordPress até a 6.4.8, inclusive Descrição: O problema está relacionado a um ataque de Cross-Site Scripting refletido (XSS) por meio do parâmetro `country`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. Recomendações: Para versões até a 6.4.8, inclusive, atualize para uma versão superior à 6.4.8 para resolver o problema. Como solução temporária, considere restringir o uso do parâmetro `country` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do plugin wp-eMember para WordPress anteriores à 10.3.9 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `fieldId` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso permite a injeção potencial de scripts maliciosos. **Recomendações** Para versões anteriores à 10.3.9, atualize para a versão 10.3.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `fieldId` no endpoint da API afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do plugin EventON para WordPress anteriores à 4.4.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso poderia ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para versões anteriores à 4.4.1, atualize para a versão 4.4.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin EventON-RSVP para WordPress anteriores à 2.9.5 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido, na qual alguns parâmetros não são devidamente sanitizados e escapados antes de serem exibidos na página. Isso poderia ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para versões anteriores à 2.9.5, atualize para a versão 2.9.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.