Luciano Hanna

Nome do Software Vulnerável e Versões Afetadas: Plugin Melhor Envio para WordPress versões até e incluindo a 2.15.9 Descrição: A falha permite que atacantes não autenticados extraiam dados sensíveis, incluindo informações de ambiente, tokens do plugin, configurações de envio e informações limitadas do fornecedor, por meio da função `run`, que utiliza um hash embutido no código. Recomendações: Para o plugin Melhor Envio para WordPress versões até e incluindo a 2.15.9, atualize para uma versão superior à 2.15.9 para resolver a falha. Como solução alternativa temporária, considere restringir o acesso à função `run` até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Advanced iFrame para WordPress, versões até e incluindo a 2024.5 **Descrição** A questão surge devido à sanitização de entrada e ao escape de saída insuficientes nos atributos fornecidos pelo usuário no shortcode `advanced iframe`. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página injetada. **Recomendações** Para versões até e incluindo a 2024.5, considere desativar o shortcode `advanced iframe` até que uma correção esteja disponível para evitar a exploração. Como solução alternativa temporária, restrinja o acesso ao shortcode `advanced iframe` para minimizar o risco de injeção de scripts web arbitrários.

Nome do Software Vulnerável e Versões Afetadas: Appointment Booking Calendar — Plugin de Agendamento Simply Schedule Appointments para WordPress versões até a 1.6.8.5 Descrição: O problema surge devido à falha do software em validar adequadamente um valor antes de executar `do shortcode`, permitindo que atacantes não autenticados executem shortcodes arbitrários. Isso ocorre porque o software permite que usuários executem uma ação sem a validação correta. Recomendações: Para versões até a 1.6.8.5, atualize para uma versão superior à 1.6.8.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função `do shortcode` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin versões até e incluindo a 1.6.8.3 **Descrição** O problema está relacionado ao Cross-Site Scripting Refletido devido à sanitização de entrada e escape de saída insuficientes nos parâmetros `accent color` e `background`. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, os quais são executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 1.6.8.3, atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes nos parâmetros `accent color` e `background`. Como solução alternativa temporária, considere restringir a entrada de dados do usuário para esses parâmetros para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Accept Donations with PayPal & Stripe para WordPress, versões até e incluindo a 1.4.4 **Descrição** O problema está relacionado ao Cross-Site Scripting Refletido devido à sanitização de entrada e escape de saída insuficientes, permitindo que atacantes não autenticados injetem scripts web arbitrários nas páginas. Isso pode ser logrado induzindo um usuário a realizar uma ação, como clicar em um link, através do parâmetro `rf`. **Recomendações** Para o plugin Accept Donations with PayPal & Stripe para WordPress, versões até e incluindo a 1.4.4, atualize para uma versão superior à 1.4.4 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao parâmetro `rf` para minimizar o risco de exploração.