Lauritz Holme

**Nome do Software Vulnerável e Versões Afetadas** Plugin The Events Calendar para WordPress, versões 6.15.1.1 a 6.15.9 **Descrição** O plugin The Events Calendar para WordPress está vulnerável a uma falha de injeção de SQL cega. Isso se deve ao escape inadequado da entrada fornecida pelo usuário e à preparação insuficiente das consultas SQL existentes. Um atacante não autenticado pode explorar essa falha anexando consultas SQL adicionais, potencialmente extraindo informações sensíveis do banco de dados por meio do parâmetro `s`. **Recomendações** Atualize o plugin The Events Calendar para uma versão superior à 6.15.9.

Name of the Vulnerable Software and Affected Versions: Liferay Portal versions 7.4.0 through 7.4.3.132 Liferay DXP versions 2024.Q1.1 through 2024.Q1.20 Liferay DXP versions 2024.Q2.0 through 2024.Q2.13 Liferay DXP versions 2024.Q3.0 through 2024.Q3.13 Liferay DXP versions 2024.Q4.0 through 2024.Q4.7 Liferay DXP versions 2025.Q1.0 through 2025.Q1.17 Liferay DXP versions 2025.Q2.0 through 2025.Q2.12 Liferay DXP version 2025.Q3.0 Description: A stored cross-site scripting issue exists that allows a remote authenticated attacker to inject JavaScript through the organization site names. The malicious payload is stored and executed without proper sanitization or escaping. Recommendations: Liferay Portal versions prior to 7.4.3.132 Liferay DXP versions prior to 2024.Q1.1 Liferay DXP versions prior to 2024.Q2.0 Liferay DXP versions prior to 2024.Q3.0 Liferay DXP versions prior to 2024.Q4.0 Liferay DXP versions prior to 2025.Q1.0 Liferay DXP versions prior to 2025.Q2.0 Liferay DXP versions prior to 2025.Q3.0

Nome do Software Vulnerável e Versões Afetadas: Versões do Liferay Portal 7.4.0 a 7.4.3.132 Versões do Liferay DXP 2024.Q1.1 a 2024.Q1.20 Versões do Liferay DXP 2024.Q2.0 a 2024.Q2.13 Versões do Liferay DXP 2024.Q3.0 a 2024.Q3.13 Versões do Liferay DXP 2024.Q4.0 a 2024.Q4.7 Versões do Liferay DXP 2025.Q1.0 a 2025.Q1.16 Versões do Liferay DXP 2025.Q2.0 a 2025.Q2.11 Descrição: Existe uma vulnerabilidade de cross-site scripting armazenado no Liferay Portal e DXP através do nome de um fieldset no Kaleo Forms Admin. O payload malicioso é armazenado e executado sem sanitização ou escape adequados, permitindo que um atacante remoto autenticado injete JavaScript. Recomendações: Versões do Liferay Portal anteriores a 7.4.3.132 Versões do Liferay DXP anteriores a 2024.Q1.1 Versões do Liferay DXP anteriores a 2024.Q2.0 Versões do Liferay DXP anteriores a 2024.Q3.0 Versões do Liferay DXP anteriores a 2024.Q4.0 Versões do Liferay DXP anteriores a 2025.Q1.0 Versões do Liferay DXP anteriores a 2025.Q2.0

**Nome do software vulnerável e versões afetadas: Versões do plugin LikeBtn para WordPress anteriores à 2.6.32 Descrição: A vulnerabilidade diz respeito a uma falha de falsificação de solicitação do lado do servidor (SSRF) com leitura total sem autenticação no plugin LikeBtn para WordPress. Recomendações: Para versões anteriores à 2.6.32, atualize para a versão 2.6.32 ou posterior para resolver o problema.