Kodaichodai

**Nome do software vulnerável e versões afetadas** Paid Memberships Pro – plugin de restrição de conteúdo, registro de usuários e assinaturas pagas para versões do WordPress até a 2.12.10, inclusive **Descrição** O problema está relacionado a uma falha de falsificação de solicitação entre sites (Cross-Site Request Forgery) devido à falta de validação do nonce na função `pmpro lifter save streamline option()`. Isso permite que invasores não autenticados habilitem a configuração de otimização com o Lifter LMS por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 2.12.10, inclusive, considere desativar a função `pmpro lifter save streamline option()` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à configuração de streamline no Lifter LMS para minimizar o risco de alterações não autorizadas. Evite usar a função afetada em tarefas administrativas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Microsoft Clarity para WordPress, versões até a 0.9.3, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à falta de validação de nonce na função `edit clarity project id()`. Isso permite que invasores não autenticados alterem o ID do projeto e adicionem JavaScript malicioso por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação específica, como clicar em um link. **Recomendações** Para versões até a 0.9.3, inclusive, atualize para uma versão que inclua a validação de nonce para a função `edit clarity project id()` a fim de prevenir ataques de falsificação de solicitação entre sites (CSRF). Como solução temporária, considere restringir o acesso à função `edit clarity project id()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** O plugin User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor para versões do WordPress até a 3.10.8, inclusive **Descrição** O problema está relacionado à falta de uma verificação de permissão na função `wppb two factor authentication settings update`, permitindo a modificação não autorizada de dados. Isso permite que invasores não autenticados ativem ou desativem a funcionalidade 2FA para funções de usuário arbitrárias na versão Premium do plugin. **Recomendações** Para versões até a 3.10.8, inclusive, atualize para uma versão posterior à 3.10.8 para resolver o problema. Como solução temporária, considere desativar a função `wppb two factor authentication settings update` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin WP 404 Auto Redirect to Similar Post para versões do WordPress até a 1.0.3, inclusive **Descrição** A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting refletido (XSS) por meio do parâmetro `request`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.0.3, inclusive, considere desativar o plugin até que uma correção esteja disponível para evitar a exploração. Como solução temporária, restrinja o acesso ao parâmetro `request` para minimizar o risco de injeção de scripts web arbitrários.

**Nome do software vulnerável e versões afetadas** Paid Memberships Pro – plugin de restrição de conteúdo, registro de usuários e assinaturas pagas para versões do WordPress até a 2.12.7, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à falta ou à validação incorreta do nonce na função `pmpro update level order()`. Isso permite que invasores não autenticados atualizem a ordem dos níveis por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 2.12.7, inclusive, atualize para uma versão superior à 2.12.7 para resolver o problema. Como solução temporária, considere desativar a função `pmpro update level order()` até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o recurso de atualização da ordem dos níveis do plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin VK Block Patterns para o WordPress, versões até e incluindo a 1.31.1.1 **Descrição** A vulnerabilidade se deve à falta ou à incorreção da validação do nonce na função `vbp clear patterns cache()`, possibilitando que invasores não autenticados limpem o cache de padrões por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 1.31.1.1, considere desativar a função `vbp clear patterns cache()` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de limpeza do cache por meio de solicitações falsificadas. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.