Lin Yu

**Nome do software vulnerável e versões afetadas** O plugin Fancy Product Designer para versões do WordPress até a 4.7.5, inclusive **Descrição** A vulnerabilidade permite que invasores realizem Cross-Site Request Forgery (CSRF) por meio da classe FPD Admin Import, possibilitando o upload de arquivos maliciosos. Esses arquivos poderiam ser usados para obter acesso a um webshell no servidor. **Recomendações** Para versões até a 4.7.5, inclusive, atualize para uma versão superior à 4.7.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** As versões do plugin Fancy Product Designer para WordPress até a versão 4.7.4, inclusive **Descrição** O problema decorre da falta de escapamento e parametrização adequados do parâmetro `ID` no arquivo ~/inc/api/class-view.php, permitindo que invasores com permissões de nível administrativo injetem consultas SQL arbitrárias e obtenham informações confidenciais. **Recomendações** Para versões até e incluindo a 4.7.4, atualize para uma versão que corrija o problema de injeção de SQL para evitar a exploração. Como solução temporária, considere restringir o acesso ao arquivo ~/inc/api/class-view.php para minimizar o risco de exploração. Evite usar o parâmetro `ID` no endpoint da API afetado até que o problema seja resolvido.