Kr0D

**Nome do software vulnerável e versões afetadas** Internal Linking for SEO traffic & Ranking – Plugin de links internos automáticos para versões do WordPress até 1.2.1 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL baseada em tempo por meio do parâmetro `post id`. Essa vulnerabilidade é causada por escape insuficiente no parâmetro fornecido pelo usuário e pela falta de preparação adequada na consulta SQL existente. Como resultado, invasores autenticados com acesso de nível de administrador ou superior podem anexar consultas SQL adicionais às consultas existentes, potencialmente extraindo informações confidenciais do banco de dados. **Recomendações** Para versões até 1.2.1, atualize para uma versão superior a 1.2.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `post id` para minimizar o risco de exploração. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** O plugin “The Wishlist for WooCommerce: Multi Wishlists Per Customer PRO” para o WordPress, nas versões 3.0.8 a 3.1.2 **Descrição** A vulnerabilidade está relacionada a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas via o parâmetro `wtab`. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. A vulnerabilidade afeta instalações do WordPress com versões de PHP <=7.4. **Recomendações** Para as versões 3.0.8 a 3.1.2, considere desativar o parâmetro `wtab` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao plugin afetado para minimizar o risco de exploração. Evite usar o parâmetro `wtab` nas páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Blogger 301 Redirect para versões do WordPress até a 2.5.3, inclusive **Descrição** O problema é uma vulnerabilidade de injeção SQL cega baseada em tempo através do parâmetro `br`. Essa vulnerabilidade se deve à escapada insuficiente no parâmetro fornecido pelo usuário e à falta de preparação adequada na consulta SQL existente, possibilitando que invasores não autenticados acrescentem consultas SQL adicionais às consultas já existentes. Isso pode ser usado para extrair informações confidenciais do banco de dados. **Recomendações** Para versões até a 2.5.3, inclusive, atualize para uma versão que inclua uma correção para este problema a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `br` para minimizar o risco de exploração.