Kishore Hariram

**Nome do software vulnerável e versões afetadas** Versões do plugin Slickr Flickr para WordPress até a 2.8.1 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de cross-site scripting devido à falta de sanitização e escapamento das configurações do plugin. Isso pode ocorrer mesmo quando a funcionalidade `unfiltered html` está desativada. **Recomendações** Para as versões do plugin Slickr Flickr para WordPress até a 2.8.1, atualize para uma versão que sanitize e escape adequadamente suas configurações para evitar ataques de cross-site scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Admin Style para WordPress até a 0.1.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting quando a capacidade `unfiltered html` está desativada, devido ao plugin não sanitizar e escapar parte de suas configurações. **Recomendações** Para as versões do plugin WP Admin Style para WordPress até a 0.1.2, atualize para uma versão que sanitize e escape adequadamente suas configurações para prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir a capacidade `unfiltered html` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Cisco Orbital (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto não autenticado redirecionasse usuários para uma página da web maliciosa devido à validação inadequada de caminhos de URL. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a clicar em um URL malicioso, redirecionando-o potencialmente para um site malicioso. Esse problema é conhecido como ataque de redirecionamento aberto e é utilizado em ataques de phishing. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Steam Group Viewer para WordPress, versões 2.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting armazenado (XSS) em ambiente autenticado. Isso ocorre porque as configurações de `Steam Group Address` não são devidamente sanitizadas ou escapadas antes de serem exibidas na página. **Recomendações** Para as versões 2.1 e anteriores do plugin Steam Group Viewer para WordPress, atualize para uma versão que sanitize adequadamente as configurações de `Steam Group Address` para evitar Cross-Site Scripting. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Easy Preloader para WordPress, versões 1.0.0 e anteriores **Descrição** O problema está relacionado à falta de sanitização nos campos de configuração do plugin, levando a vulnerabilidades de Stored Cross-Site Scripting (XSS) em usuários autenticados. Isso pode ser explorado por administradores ou usuários com privilégios superiores. **Recomendações** Para as versões 1.0.0 e anteriores do plugin Easy Preloader para WordPress, considere desativar o plugin até que uma correção esteja disponível para evitar possíveis explorações. Restrinja o acesso aos campos de configuração do plugin para minimizar o risco de problemas de Stored Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin iFlyChat para WordPress anteriores à 4.7.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) em ambiente autenticado. Ele ocorre porque a configuração do ID do aplicativo (APP ID) não é devidamente sanitizada antes de ser exibida na página. Isso permite que scripts maliciosos sejam armazenados e executados. **Recomendações** Para versões anteriores à 4.7.0, atualize para a versão 4.7.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração do ID do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Hotjar Connecticator para WordPress até a versão 1.1.1 **Descrição** O problema diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado na área de texto `hotjar script`. Isso poderia ser explorado por usuários administradores, uma vez que a solicitação inclui um nonce CSRF que é devidamente verificado pelo servidor. **Recomendações** Para as versões do plugin Hotjar Connecticator para WordPress até a 1.1.1, considere desativar a área de texto `hotjar script` até que uma correção esteja disponível para evitar uma possível exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Hana Flv Player para WordPress anteriores à 3.1.4 **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Essa vulnerabilidade está localizada no campo “Default Skin”. **Recomendações** Para versões do plugin Hana Flv Player para WordPress anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema.