Lorenzo Franchini

**Name of the Vulnerable Software and Affected Versions** Demo Importer Plus plugin for WordPress versions up to and including 2.0.9 **Description** The software is susceptible to XML External Entity Injection (XXE) through the SVG file upload functionality. This allows authenticated attackers with Author-level access or higher to potentially achieve code execution in vulnerable configurations. This issue only impacts sites using PHP versions older than 8.0. **Recommendations** Update the Demo Importer Plus plugin to a version newer than 2.0.9. For sites using PHP versions older than 8.0, consider alternative methods for importing demos that do not involve SVG file uploads.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Download Plugins and Themes in ZIP from Dashboard para WordPress versões até a 1.9.6 **Descrição** O software está suscetível a uma vulnerabilidade de Cross-Site Request Forgery (CSRF). Isso se deve à validação de nonce inadequada ou ausente dentro das funções `download plugin bulk` e `download theme bulk`. Um atacante não autenticado poderia potencialmente compactar todos os plugins e temas do site, colocando-os no diretório `wp-content/uploads/`, ao forjar uma requisição e induzir um administrador do site a realizar uma ação. **Recomendações** Atualize o plugin Download Plugins and Themes in ZIP from Dashboard para WordPress para uma versão posterior à 1.9.6.