Kieran Burge

**Nome do software vulnerável e versões afetadas** O plugin para WordPress “AI ChatBot with ChatGPT and Content Generator” da AYS, versões anteriores à 2.1.0 **Descrição** A vulnerabilidade permite que usuários não autenticados obtenham a chave da API da OpenAI. Isso ocorre devido à divulgação da chave da API da OpenAI no plugin. **Recomendações** Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin “AI ChatBot with ChatGPT and Content Generator by AYS” para WordPress, versões anteriores à 2.1.0 **Descrição** O problema está relacionado a controles de acesso insuficientes no plugin AI ChatBot com ChatGPT e Content Generator da AYS para WordPress, permitindo que um usuário não autenticado desconecte o plugin do OpenAI. Isso pode ser feito por meio de várias ações acessíveis: `ays chatgpt disconnect`, `ays chatgpt connect` e `ays chatgpt save feedback`. **Recomendações** Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às ações `ays chatgpt disconnect`, `ays chatgpt connect` e `ays chatgpt save feedback` para impedir a desconexão não autorizada do OpenAI.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.4.6 do plugin “Chatbot with ChatGPT” para WordPress **Descrição** O problema está relacionado à falta de autorização adequada em um dos pontos de extremidade REST do plugin, permitindo que usuários não autenticados recuperem uma chave codificada, que pode então ser decodificada, resultando no vazamento da chave da API da OpenAI. **Recomendações** Para versões anteriores à 2.4.6, atualize para a versão 2.4.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint REST vulnerável até que um patch seja aplicado. Evite usar o plugin afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** O plugin para WordPress “Chatbot Support AI: Free ChatGPT Chatbot, Woocommerce Chatbot”, versões 1.0.2 e anteriores **Descrição** O problema está relacionado à falta de sanitização e escapamento de algumas configurações no plugin, o que poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Stored Cross-Site Scripting. Isso é possível mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para as versões 1.0.2 e anteriores, atualize para uma versão que corrija este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin Generate Images para WordPress anteriores à 5.2.8 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 5.2.8, atualize para a versão 5.2.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das configurações do plugin para minimizar o risco de exploração.