Luc

**Name of the Vulnerable Software and Affected Versions** LMS Elementor Pro versions through 1.0.4 **Description** A privilege assignment issue exists in LMS Elementor Pro that could allow for privilege escalation. The issue allows an attacker to gain elevated privileges within the system. **Recommendations** Update LMS Elementor Pro to a version later than 1.0.4.

**Nome do Software Vulnerável e Versões Afetadas** EPC AI Hub versões 1.3.3 e anteriores **Descrição** A falha permite o upload irrestrito de arquivos com tipos perigosos, possibilitando o upload de um web shell para um servidor web. Isso pode ser explorado para obter acesso não autorizado ou controle sobre o servidor. **Recomendações** Para as versões 1.3.3 e anteriores do EPC AI Hub, considere restringir ou desabilitar a funcionalidade de upload de arquivos até que um patch esteja disponível. Como solução temporária, implemente validação e sanitização rigorosas dos arquivos enviados para prevenir o upload de conteúdo malicioso.

**Nome do Software Vulnerável e Versões Afetadas** Chaty Pro versões n/a até 3.3.3 **Descrição** O problema afeta o Chaty Pro, permitindo que um invasor faça upload de arquivos maliciosos que podem ser usados para assumir o controle de um site. Isso se deve a uma vulnerabilidade de Upload Irrestrito de Arquivo com Tipo Perigoso, que possibilita o upload de um web shell para um servidor web. Milhares de sites WordPress estão expostos à tomada de controle. O número estimado de dispositivos potencialmente afetados em todo o mundo é de mais de 18.000 usuários. **Recomendações** Para as versões do Chaty Pro n/a até 3.3.3, considere desativar o plugin até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso ao plugin para minimizar o risco de tomada de controle. Evite utilizar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Homey Login Register versões n/a até 2.4.0 **Descrição** O problema está relacionado a uma Atribuição Incorreta de Privilégios no Homey Login Register, o que permite Escalonamento de Privilégios. **Recomendações** Para as versões n/a até 2.4.0, atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Easy Real Estate versões n/a até 2.2.6 Descrição: O problema afeta o Easy Real Estate, permitindo escalonamento de privilégios devido a uma vulnerabilidade de atribuição incorreta de privilégios. Esta vulnerabilidade permite que um atacante faça login como administrador sem senha. Recomendações: Para as versões n/a até 2.2.6, atualize para uma versão posterior à 2.2.6 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sweet Date versões 3.7.3 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização no tema Sweet Date para WordPress, que poderia expor milhares de sites a possíveis invasões. Essa vulnerabilidade pode permitir acesso não autorizado, levando potencialmente ao comprometimento dos sites. O número estimado de dispositivos potencialmente afetados em todo o mundo não é explicitamente indicado, mas é mencionado que milhares de sites podem estar expostos. **Recomendações** Para as versões 3.7.3 e anteriores do Sweet Date, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Houzez Login Register, versões 3.2.5 e anteriores **Descrição** Foi identificada uma vulnerabilidade de escalonamento de privilégios no plugin Houzez Login Register. **Recomendações** Para as versões 3.2.5 e anteriores do Houzez Login Register, atualize para uma versão que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Houzez versões 3.2.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de atribuição incorreta de privilégios, que permite a escalada de privilégios no Houzez. **Recomendações** Para as versões 3.2.4 e anteriores do Houzez, atualize para uma versão posterior à 3.2.4 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Foxiz versões 2.3.5 e anteriores **Descrição** Foi identificada uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) no Theme-Ruby Foxiz. Esse problema permite o acesso não autorizado a recursos internos, podendo levar à exposição de dados confidenciais ou a outras atividades maliciosas. **Recomendações** Para as versões 2.3.5 e anteriores do Foxiz, atualize para uma versão posterior à 2.3.5 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Chauffeur Taxi Booking System para WordPress, versões n/a a 6.9 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização ausente, que permite o acesso a funcionalidades não devidamente restritas por listas de controle de acesso (ACLs). Isso significa que certos recursos ou dados podem ser acessados sem as permissões necessárias, o que pode levar a acessos ou ações não autorizados. **Recomendações** Para as versões n/a a 6.9, atualize para uma versão que restrinja adequadamente as funcionalidades com ACLs para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Repute Infosystems ARMember, versões 4.0.28 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 4.0.28 e anteriores, atualize para uma versão posterior à 4.0.28 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kadence WP Gutenberg Blocks, versões até 3.2.25 **Descrição** Uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) afeta o software, permitindo o acesso não autorizado a recursos internos. Isso pode levar à exposição de dados confidenciais ou a outras atividades maliciosas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões até a 3.2.25, atualize para uma versão posterior à 3.2.25 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** QuanticaLabs Chauffeur Taxi Booking System para WordPress, versões n/a a 7.2 **Descrição** O problema está relacionado a um upload irrestrito de arquivos de tipo perigoso, o que afeta o Chauffeur Taxi Booking System para WordPress. **Recomendações** Para as versões n/a a 7.2, atualize para uma versão que contenha uma correção para este problema, se disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OxyExtras versões 1.4.4 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting. Isso permite a ocorrência de XSS refletido. **Recomendações** Para as versões 1.4.4 e anteriores do OxyExtras, atualize para uma versão que contenha uma correção para este problema, uma vez que não é fornecida nenhuma solução alternativa específica nas informações disponibilizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.