Krugov Aryom

Nome do Software Vulnerável e Versões Afetadas: Plugin WordPress Structured Content (JSON-LD) #wpsc versões anteriores à 1.7.0 Descrição: O plugin WordPress Structured Content (JSON-LD) #wpsc não valida e não escapa certas opções de bloco antes de exibi-las em uma página ou post, potencialmente permitindo que usuários com acesso de nível de contribuidor ou superior executem ataques de Cross-Site Scripting (XSS) Armazenado. Recomendações: Atualize para a versão 1.7.0 ou posterior do plugin WordPress Structured Content (JSON-LD) #wpsc.

**Nome do software vulnerável e versões afetadas** Plugin Sticky Social Icons para WordPress, versões 1.2.1 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting armazenado (XSS), mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e escapa adequadamente algumas de suas configurações. **Recomendações** Para as versões 1.2.1 e anteriores do plugin Sticky Social Icons para WordPress, atualize para uma versão que sanitize e escape adequadamente suas configurações para prevenir ataques de Stored Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin SportsPress para WordPress anteriores à 2.7.22 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 2.7.22, atualize para a versão 2.7.22 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de acessar e modificar as configurações do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Responsive Tabs para WordPress, versões 4.0.8 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como Colaboradores e níveis superiores, realizem ataques de Stored Cross-Site Scripting, uma vez que o plugin não sanitiza nem escapa parte das configurações das guias. **Recomendações** Para as versões 4.0.8 e anteriores do plugin Responsive Tabs para WordPress, atualize para uma versão que corrija a sanitização e o escape das configurações de guias, a fim de prevenir ataques de Stored Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.12.14 do plugin Giveaways and Contests by RafflePress para WordPress **Descrição** O problema diz respeito à falta de sanitização e escapamento de determinados parâmetros, o que pode permitir que usuários com uma função tão baixa quanto a de editor realizem ataques de Cross-Site Scripting. **Recomendações** Para versões anteriores à 1.12.14, atualize para a versão 1.12.14 ou posterior para resolver o problema. Como solução temporária, considere restringir a função dos editores para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões anteriores à 4.0.9 do plugin Secure Copy Content Protection and Content Locking para WordPress Descrição: A vulnerabilidade permite que usuários com privilégios elevados, como o administrador, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza nem escapa alguns de seus parâmetros. Recomendações: Para versões anteriores à 4.0.9, atualize para a versão 4.0.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Ditty para WordPress anteriores à 3.1.36 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 3.1.36, atualize para a versão 3.1.36 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de acessar e modificar as configurações do plugin até que a atualização seja aplicada.