Majed Refaea

**Nome do Software Vulnerável e Versões Afetadas** Hamid Alinia versões n/a até 1.6.93 **Descrição** Existe um problema de falta de autorização na funcionalidade de Login com número de telefone. **Recomendações** Atualize para uma versão posterior à 1.6.93.

Nome do Software Vulnerável e Versões Afetadas: Nitesh Singh Ultimate Auction versões até a 4.2.5 Descrição: O problema consiste em uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a um atacante realizar ações não autorizadas na conta de um usuário. Isso pode ser feito induzindo o usuário a executar uma ação não intencional, como fazer uma requisição para um endpoint específico da API, por exemplo, "/api/v1/bid" ou "/users/{id}/bid". Recomendações: Para as versões até a 4.2.5, atualize para uma versão que inclua uma correção para este problema, pois não há medidas de mitigação específicas fornecidas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do MasterStudy LMS anteriores à 3.2.1 Descrição: O problema consiste em uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), que permite a um invasor executar ações não autorizadas na conta de um usuário. Este é um tipo de ataque no qual um invasor induz um usuário a realizar uma ação não intencional em uma aplicação web na qual o usuário está autenticado. Recomendações: Para versões anteriores à 3.2.1, atualize para uma versão que inclua a correção para este problema. Como medida temporária, considere implementar validação adicional para requisições para prevenir ações não autorizadas. Restrinja o acesso a funcionalidades sensíveis para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Labib Ahmed Animated Rotating Words versions through 5.6 Description: A Cross-Site Request Forgery (CSRF) issue affects the software, allowing unauthorized requests. Recommendations: For versions through 5.6, update to a version that includes a fix for this issue, however at the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Marco Milesi Telegram Bot & Channel versões n/a até 3.8.2 Descrição: O problema é uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a realização de Cross-Site Request Forgery. Isso significa que um atacante pode induzir um usuário a realizar ações não intencionais em uma aplicação web na qual o usuário está autenticado. Recomendações: Para as versões n/a até 3.8.2, atualize para uma versão que contenha uma correção para este problema, pois nenhuma medida de mitigação específica é fornecida para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Taggbox versões n/a até 3.3 Descrição: Uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) afeta o Taggbox, permitindo solicitações não autorizadas. Recomendações: Para as versões n/a até 3.3, atualize para uma versão que inclua uma correção para este problema, pois nenhuma medida de mitigação específica é fornecida para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Epsiloncool WP Fast Total Search versões 1.69.234 e anteriores Descrição: O problema consiste em uma vulnerabilidade de Cross-Site Request Forgery (CSRF). Este tipo de vulnerabilidade permite que um atacante induza um usuário a realizar ações não intencionais em uma aplicação web à qual o usuário está autenticado. Recomendações: Para as versões 1.69.234 e anteriores do Epsiloncool WP Fast Total Search, atualize para uma versão não afetada por este problema. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Metorik – Reports & Email Automation for WooCommerce versões 1.7.1 e anteriores Descrição: Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) afeta o software, permitindo a execução de ações não autorizadas. A quantidade estimada de dispositivos potencialmente afetados em todo o mundo não foi especificada. Não há informações sobre incidentes reais nos quais essa vulnerabilidade tenha sido explorada. Recomendações: Para o Metorik – Reports & Email Automation for WooCommerce versões 1.7.1 e anteriores, atualize para uma versão superior à 1.7.1 para resolver o problema. Como solução temporária, considere implementar medidas adicionais de proteção CSRF, como validação baseada em tokens, para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: WPAdverts – Classifieds Plugin versions n/a through 2.1.2 Description: The issue is a Cross-Site Request Forgery (CSRF) vulnerability, which allows an attacker to perform unauthorized actions on a user's account. This can be achieved by tricking the user into performing an unintended action, such as submitting a form or clicking a link. Recommendations: For WPAdverts – Classifieds Plugin versions n/a through 2.1.2, update to a version later than 2.1.2 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Magazine3 Google Adsense & Banner Ads by AdsforWP versões 1.9.28 e anteriores Descrição: O problema consiste em uma vulnerabilidade de Cross-Site Request Forgery (CSRF), que permite a um atacante realizar ações não autorizadas na conta de um usuário. Isso pode ser logrado induzindo o usuário a executar uma ação não pretendida, como clicar em um link malicioso. Recomendações: Para as versões 1.9.28 e anteriores, atualize para uma versão posterior à 1.9.28 para resolver o problema. Como medida temporária, considere restringir o acesso a recursos sensíveis do plugin Magazine3 Google Adsense & Banner Ads by AdsforWP até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** WpTravelly versões 1.7.7 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite o acesso a funcionalidades não devidamente restritas por ACLs. **Recomendações** Para as versões 1.7.7 e anteriores, atualize para uma versão que restrinja adequadamente as funcionalidades com ACLs para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jordy Meow Photo Engine, versões n/a a 6.4.0 **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões n/a a 6.4.0, atualize para uma versão que contenha uma correção para este problema, pois a versão atual está afetada pela vulnerabilidade de falta de autorização. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Epsiloncool WP Fast Total Search, versões 1.68.232 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões 1.68.232 e anteriores do Epsiloncool WP Fast Total Search, atualize para uma versão que contenha uma correção para este problema, uma vez que não são fornecidas soluções alternativas específicas ou medidas de mitigação.

**Nome do software vulnerável e versões afetadas** MasterStudy LMS versões 3.2.12 e anteriores **Descrição** O problema está relacionado à falta de autorização, permitindo a exploração devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões 3.2.12 e anteriores do MasterStudy LMS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do WP GoToWebinar até a 15.6 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização ausente, permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para versões até a 15.6, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do WP Sunshine Sunshine Photo Cart anteriores à 3.2.9 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização ausente, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para versões anteriores à 3.2.9, atualize para uma versão que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o acesso a áreas sensíveis do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** User Rights Access Manager, versões 1.1.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de controle de acesso no User Rights Access Manager. Essa vulnerabilidade permite o acesso não autorizado. **Recomendações** Para as versões 1.1.2 e anteriores, atualize para uma versão que contenha uma correção para este problema, se disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dropshipping Guru Ali2Woo Lite, versões n/a a 3.3.5 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização ausente, que envolve a exploração de níveis de segurança de controle de acesso configurados incorretamente. Também inclui uma vulnerabilidade de XSS armazenado. **Recomendações** Para as versões n/a a 3.3.5, atualize para uma versão posterior à 3.3.5 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. Evite usar o aplicativo até que o problema seja resolvido, se possível. No momento, não há informações sobre medidas de mitigação adicionais.

**Nome do software vulnerável e versões afetadas** Meks Video Importer versões 1.0.12 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões 1.0.12 e anteriores do Meks Video Importer, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MyBookTable Bookstore, versões 3.3.9 e anteriores **Descrição** O problema é uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) que permite ataques de Cross-Site Scripting (XSS) no plugin MyBookTable Bookstore para WordPress. Recomenda-se aos usuários que atualizem para a versão mais recente a fim de mitigar os riscos. **Recomendações** Para as versões 3.3.9 e anteriores do MyBookTable Bookstore, atualize para a versão mais recente para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin até que o problema seja resolvido.