Kinorth

**Nome do Software Vulnerável e Versões Afetadas** Code Supply Co. Blueprint versões anteriores a 1.1.5 **Descrição** Um controle inadequado de nome de arquivo para a instrução include/require em programas PHP permite a Inclusão de Arquivos Locais (Local File Inclusion). Isso ocorre quando a aplicação não valida adequadamente o caminho do arquivo usado nas funções include ou require do PHP, potencialmente permitindo que um invasor inclua arquivos do sistema de arquivos local. **Recomendações** Atualizar para a versão 1.1.5.

**Nome do Software Vulnerável e Versões Afetadas** WaveRide versões anteriores a 1.5 **Descrição** O Controle Impróprio de Nome de Arquivo para Instruções Include/Require em Programas PHP permite a Inclusão de Arquivos Locais (Local File Inclusion). Isso ocorre quando a aplicação não valida adequadamente o nome do arquivo usado em instruções include ou require do PHP, potencialmente permitindo que um invasor inclua arquivos do sistema de arquivos local. **Recomendações** Atualize para uma versão posterior a 1.4.

**Nome do Software Vulnerável e Versões Afetadas** The Plus Addons for Elementor versões anteriores a 6.4.16 **Description** O plugin está sujeito a Stored Cross-Site Scripting, uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. O problema existe no widget Carousel Anything devido à escape de saída insuficiente na função `render()`. Especificamente, o parâmetro `carousel direction` é colocado em um atributo HTML não cotado (`dir=`), o que permite a injeção de atributos mesmo com o uso de `esc attr()`. Atacantes autenticados com nível de acesso de contribuidor ou superior podem injetar scripts web arbitrários em páginas que serão executados quando acessados por outros usuários. **Recommendations** Atualize para uma versão posterior a 6.4.15. Como medida paliativa temporária, restrinja o acesso ao widget Carousel Anything ou evite usar o parâmetro `carousel direction` até que a atualização seja aplicada.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in SeedProd LLC SeedProd Pro allows PHP Local File Inclusion. This issue affects SeedProd Pro: from n/a before 6.19.5.

**Nome do Software Vulnerável e Versões Afetadas** Nyla versões n/a até 1.7 **Description** A neutralização inadequada de tags HTML relacionadas a scripts em uma página web leva a um problema de Cross-Site Scripting (XSS) básico, o que permite a injeção de código. Cross-Site Scripting é uma falha onde uma aplicação inclui dados não confiáveis em uma página web sem a devida validação ou escape, permitindo que atacantes executem scripts maliciosos no navegador da vítima. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Magentech SW Core versões anteriores a 1.7.18 **Descrição** O Controle Impróprio de Nome de Arquivo para Instruções Include/Require em Programas PHP (PHP Remote File Inclusion) permite a Inclusão de Arquivos Locais PHP (PHP Local File Inclusion). Isso ocorre quando a aplicação não valida adequadamente o nome do arquivo usado em instruções include ou require, potencialmente permitindo que um invasor inclua arquivos do sistema local. **Recomendações** Atualize para a versão 1.7.18 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Mayosis Core versões anteriores a 5.4.7 **Description** A ausência de autorização no TeconceTheme Mayosis Core permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recommendations** Atualize para uma versão posterior a 5.4.7.

**Nome do Software Vulnerável e Versões Afetadas** CodexThemes TheGem Theme Elements (for Elementor) versões anteriores a 5.12.1.1 **Descrição** A neutralização inadequada de entradas durante a geração de páginas web permite o Cross-Site Scripting (XSS) baseado em DOM, uma falha em que a aplicação contém JavaScript no lado do cliente que processa dados de uma fonte não confiável de maneira insegura, geralmente atualizando o Document Object Model (DOM). **Recomendações** Atualizar para a versão 5.12.1.1.

**Name of the Vulnerable Software and Affected Versions** QantumThemes Kentha versions through 4.7.2 **Description** A Reflected Cross-site Scripting (XSS) issue exists in QantumThemes Kentha due to improper neutralization of input during web page generation. This allows an attacker to inject malicious scripts into web pages viewed by other users. The vulnerability occurs when processing user-supplied input without sufficient validation or encoding. The vulnerable component is susceptible to attacks where an attacker can craft a malicious URL containing a script that will be executed in the context of the victim's browser. The affected parameter is not specified. **Recommendations** Update QantumThemes Kentha to a version later than 4.7.2.

**Name of the Vulnerable Software and Affected Versions** ThemetechMount Boldman versions through 7.7 **Description** The software contains a flaw related to improper control of filename handling for include/require statements, specifically a PHP Remote File Inclusion issue. This allows for PHP Local File Inclusion. The vulnerability exists due to insufficient sanitization of filenames used in include/require operations, potentially allowing an attacker to include arbitrary files. **Recommendations** Update ThemetechMount Boldman to a version newer than 7.7.

**Name of the Vulnerable Software and Affected Versions** Creatives Planet Greenly Theme Addons versions prior to 8.2 **Description** A flaw exists in Creatives Planet Greenly Theme Addons that allows for PHP Local File Inclusion due to improper control of filename handling for include/require statements. This issue is related to a 'PHP Remote File Inclusion' type of vulnerability. **Recommendations** Update Creatives Planet Greenly Theme Addons to version 8.2 or later.

**Name of the Vulnerable Software and Affected Versions** Medilazar Core versions prior to 1.4.7 **Description** The software contains a flaw related to improper control of filename handling for include/require statements, specifically a PHP Local File Inclusion issue. This allows for the inclusion of local files. The affected component is `medilazar-core`. **Recommendations** Update Medilazar Core to version 1.4.7 or later.

**Name of the Vulnerable Software and Affected Versions** RadiusTheme Medilink-Core versions prior to 2.0.7 **Description** The software contains a flaw related to improper control of filename for include/require statements, specifically a PHP Local File Inclusion issue. This impacts the Medilink-Core component. **Recommendations** Update to a version newer than 2.0.7.

**Name of the Vulnerable Software and Affected Versions** redqteam Turbo Manager versions prior to 4.0.8 **Description** The software contains a flaw related to improper control of filename handling for include/require statements, specifically a PHP Remote File Inclusion issue. This allows for PHP Local File Inclusion. **Recommendations** Update redqteam Turbo Manager to version 4.0.8 or later.

**Name of the Vulnerable Software and Affected Versions** Creatives Planet Greenly versions n/a through 8.1 **Description** A flaw exists in Creatives Planet Greenly due to improper control of filename handling for include/require statements in a PHP program, leading to a PHP Local File Inclusion issue. The vulnerability allows for the inclusion of local PHP files. The issue is referred to as a 'PHP Remote File Inclusion' in some reports. **Recommendations** Versions prior to 8.1 should be updated.

**Name of the Vulnerable Software and Affected Versions** ThemeGoods Musico versions through 3.2.4 **Description** The software contains a flaw related to improper input handling during web page generation, specifically a Reflected Cross-site Scripting issue. This allows for the execution of malicious scripts through crafted input. **Recommendations** Update ThemeGoods Musico to a version later than 3.2.4.

**Name of the Vulnerable Software and Affected Versions** fox-themes Awa Plugins versions through 1.4.4 **Description** The software contains a flaw related to improper input handling during web page generation, leading to a Reflected Cross-site Scripting (XSS) condition. This allows for the injection of malicious scripts into web pages. The vulnerability exists in the `awa-plugins` component. The issue allows attackers to execute arbitrary JavaScript code in the context of a user's browser. The vulnerable component does not properly sanitize user-supplied input before including it in the generated web page, which enables the injection of malicious scripts. **Recommendations** Update fox-themes Awa Plugins to a version later than 1.4.4.

**Name of the Vulnerable Software and Affected Versions** BoldThemes Celeste versions through 1.3.6 **Description** A flaw exists in BoldThemes Celeste that allows for object injection due to deserialization of untrusted data. This issue could potentially allow an attacker to compromise the system. **Recommendations** Update BoldThemes Celeste to a version later than 1.3.6.

**Name of the Vulnerable Software and Affected Versions** ThemeGoods Grand News versions through 3.4.3 **Description** The software contains a flaw related to improper input handling during web page creation, specifically a Reflected Cross-site Scripting issue. This allows for the injection of malicious scripts into web pages. The vulnerability affects the `grandnews` component. **Recommendations** Update ThemeGoods Grand News to a version later than 3.4.3.

**Name of the Vulnerable Software and Affected Versions** Starto versions through 2.1.9 **Description** The software contains a flaw related to improper input handling during web page generation, specifically a Reflected Cross-site Scripting (XSS) issue. This allows for the injection of malicious scripts into web pages. The affected component is not specified. **Recommendations** Update Starto to a version later than 2.1.9.