Krugov Artyom

**Nome do Software Vulnerável e Versões Afetadas** Ajax Load More WordPress plugin versões anteriores a 7.8.4 **Descrição** O plugin não sanitiza nem escapa adequadamente um parâmetro antes de exibi-lo na página. Isso leva ao Reflected Cross-Site Scripting (XSS), uma falha onde scripts maliciosos são refletidos de uma aplicação web para o navegador do usuário, o que pode ser explorado contra usuários de alto privilégio, como administradores. **Recomendações** Atualize para a versão 7.8.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** WP Lightbox 2 WordPress plugin versions prior to 3.0.7 **Description** The WP Lightbox 2 WordPress plugin does not properly sanitise and escape certain settings. This could allow users with high privileges, such as administrators, to carry out Stored Cross-Site Scripting (XSS) attacks. This is possible even when the `unfiltered html` capability is disabled, for example, in a multisite configuration. The issue involves insufficient input validation, potentially allowing malicious scripts to be injected and executed within the application. **Recommendations** Update WP Lightbox 2 WordPress plugin to version 3.0.7 or later.

**Name of the Vulnerable Software and Affected Versions** Reading progressbar WordPress plugin versions prior to 1.3.1 **Description** The Reading progressbar WordPress plugin does not properly sanitise and escape certain settings. This could allow users with high privileges, such as administrators, to carry out Stored Cross-Site Scripting (XSS) attacks. This is possible even when the `unfiltered html` capability is disabled, for example, in a multisite setup. Stored XSS occurs when malicious scripts are persistently stored on the target server, allowing them to be delivered to other users who access the affected content. **Recommendations** Update the Reading progressbar WordPress plugin to version 1.3.1 or later.

**Name of the Vulnerable Software and Affected Versions** Simple SEO WordPress plugin versions prior to 2.0.32 **Description** The software does not properly sanitize and escape parameters when outputting them on the page. This could allow users with a contributor role or higher to perform Cross-Site Scripting attacks. **Recommendations** Update to version 2.0.32 or later.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin AI ChatBot for WordPress anteriores à 7.1.0 Descrição: O plugin AI ChatBot for WordPress não sanitiza e escapa algumas de suas configurações. Isso poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Cross-Site Scripting (XSS) Armazenado, mesmo quando a capacidade `unfiltered html` estiver desabilitada, por exemplo, em uma configuração multisite. Recomendações: Atualize para a versão 7.1.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenStreetMap for Gutenberg and WPBakery Page Builder (anteriormente Visual Composer) versões até a 1.2.0 **Descrição** O plugin não valida e não aplica escape a certas opções de bloco antes de exibi-las em uma página ou post, potencialmente permitindo que usuários com funções de contribuidor e superiores executem ataques de Cross-Site Scripting Armazenado. **Recomendações** Atualize o OpenStreetMap for Gutenberg and WPBakery Page Builder (anteriormente Visual Composer) para uma versão posterior à 1.2.0.

Nome do Software Vulnerável e Versões Afetadas: Plugin Contact Form Plugin para WordPress versões anteriores à 1.1.29 Descrição: O problema diz respeito ao plugin Contact Form Plugin para WordPress, no qual algumas configurações não são devidamente sanitizadas e escapadas, potencialmente permitindo que usuários com privilégios elevados, como contribuidores, realizem ataques de Cross-Site Scripting (XSS) Armazenado. Recomendações: Para versões anteriores à 1.1.29, atualize para a versão 1.1.29 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do WP Map Block anteriores à 2.0.3 Descrição: O problema diz respeito ao plugin WordPress WP Map Block, que não valida e escapa algumas de suas opções de bloco antes de exibi-las em uma página ou post onde o bloco está incorporado. Isso poderia permitir que usuários com a função de colaborador ou superior realizassem ataques de Cross-Site Scripting (XSS) Armazenado. Recomendações: Para versões do WP Map Block anteriores à 2.0.3, atualize para a versão 2.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do plugin WP Map Block até que uma correção seja aplicada, especialmente para usuários com a função de colaborador ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Post Slider and Post Carousel with Post Vertical Scrolling Widget versões anteriores à 3.2.10 **Descrição** O problema refere-se ao plugin do WordPress Post Slider and Post Carousel with Post Vertical Scrolling Widget, no qual certas opções do widget não são devidamente validadas e escapadas antes de serem exibidas em uma página ou post. Isso poderia permitir que usuários com a função de contribuidor ou superior realizassem ataques de Cross-Site Scripting (XSS) Armazenado. **Recomendações** Para versões anteriores à 3.2.10, atualize para a versão 3.2.10 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress The Real Cookie Banner: GDPR & ePrivacy Cookie Consent versões anteriores a 5.1.6 Plugin WordPress real-cookie-banner-pro versões anteriores a 5.1.6 **Descrição** A falha permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting (XSS) Armazenado. Isso é possível porque algumas configurações não são devidamente sanitizadas e escapadas, e esta vulnerabilidade pode ser explorada mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite. **Recomendações** Para o plugin WordPress The Real Cookie Banner: GDPR & ePrivacy Cookie Consent versões anteriores a 5.1.6, atualize para a versão 5.1.6 ou posterior. Para o plugin WordPress real-cookie-banner-pro versões anteriores a 5.1.6, atualize para a versão 5.1.6 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin WordPress Blog2Social: Social Media Auto Post & Scheduler versões anteriores à 8.4.0 **Descrição** O problema refere-se à falha ao escapar títulos de posts no painel, potencialmente permitindo que usuários com a função de contribuidor realizem ataques de Cross-Site Scripting. **Recomendações** Para versões anteriores à 8.4.0, atualize para a versão 8.4.0 ou posterior para resolver o problema.

Name of the Vulnerable Software and Affected Versions: Stylemix Cost Calculator Builder versions 3.2.74 and earlier Description: The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, which allows Stored XSS. This means that an attacker can inject malicious scripts into the website, potentially affecting users who access the compromised page. Recommendations: For Stylemix Cost Calculator Builder versions 3.2.74 and earlier, update to a version later than 3.2.74 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin Qi Blocks para WordPress anteriores à 1.4 Descrição: O problema refere-se a um ataque de Cross-Site Scripting (XSS) Armazenado. Isso é causado pelo plugin Qi Blocks para WordPress não validar e não escapar algumas de suas opções do bloco Countdown antes de exibi-las em uma página ou post onde o bloco está incorporado. Isso poderia permitir que usuários com a função de colaborador ou superior realizem tais ataques. Recomendações: Para versões do plugin Qi Blocks para WordPress anteriores à 1.4, atualize para a versão 1.4 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir o uso das opções do bloco Countdown para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin Qi Blocks para WordPress anteriores à 1.4 Descrição: O problema refere-se a um ataque de Cross-Site Scripting (XSS) Armazenado. Isso ocorre porque o plugin não valida e não faz o escape de algumas de suas opções do bloco Counter antes de exibi-las em uma página ou post onde o bloco está incorporado. Isso poderia permitir que usuários com a função de contribuidor ou superior realizem tais ataques. Recomendações: Para versões anteriores à 1.4, atualize para a versão 1.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das opções do bloco Counter para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin Qi Blocks para WordPress anteriores à 1.4 Descrição: O problema refere-se ao plugin Qi Blocks para WordPress, que não valida e escapa adequadamente algumas de suas opções de bloco antes de exibi-las em uma página ou post. Isso pode permitir que usuários com a função de contribuidor ou superior realizem ataques de Cross-Site Scripting Armazenado. Recomendações: Para versões do plugin Qi Blocks para WordPress anteriores à 1.4, atualize para a versão 1.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das opções de bloco vulneráveis para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin WordPress Mobile Contact Bar anteriores à 3.0.5 Descrição: A falha permite que usuários com altos privilégios, como administradores, realizem ataques de Cross-Site Scripting Armazenado (Stored XSS). Isso é possível porque algumas configurações não são devidamente sanitizadas e escapadas, e esta vulnerabilidade pode ser explorada mesmo quando a capability unfiltered html estiver desabilitada, como em uma configuração multisite. Recomendações: Para versões anteriores à 3.0.5, atualize para a versão 3.0.5 ou posterior para corrigir a falha.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin WordPress Advanced Cron Manager anteriores à 2.5.7 **Descrição** A falha permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting (XSS) Armazenado, mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza nem escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 2.5.7, atualize para a versão 2.5.7 ou posterior para resolver o problema. Como medida temporária, considere restringir o uso das configurações vulneráveis para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin WordPress Responsive Gallery Grid anteriores à 2.3.15 Descrição: O problema diz respeito à falta de sanitização e escaping de algumas configurações no plugin, o que poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Cross-Site Scripting. Isso é possível mesmo quando a capacidade unfiltered html está desativada. Recomendações: Para versões anteriores à 2.3.15, atualize para a versão 2.3.15 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Plugin HD Quiz para WordPress versões anteriores à 2.0.0 **Descrição** O problema diz respeito ao plugin HD Quiz para WordPress, no qual versões anteriores à 2.0.0 não sanitizam e escapam corretamente algumas de suas configurações. Isso poderia permitir que usuários com altos privilégios, como administradores, realizem ataques de Cross-Site Scripting (XSS) Armazenado. Isso é possível mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em uma configuração de multisite. **Recomendações** Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das configurações do plugin para minimizar o risco de exploração. Evite usar o plugin em configurações de multisite onde a capacidade `unfiltered html` está desativada até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin do WordPress The Simple Basic Contact Form anteriores a 20250114 Descrição: O problema permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting Armazenado. Isso pode ocorrer mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite. Recomendações: Para versões anteriores a 20250114, atualize para a versão 20250114 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.