Martin Vierula

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.3.19 do plugin “Timetable and Event Schedule by MotoPress” para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios limitados, como autores, realizem ataques XSS contra usuários do front-end e do back-end ao visualizar eventos relacionados. Isso ocorre porque o plugin não sanitiza alguns de seus parâmetros. **Recomendações** Para versões anteriores à 2.3.19, atualize para a versão 2.3.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para usuários com privilégios limitados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin “Comment Link Remove and Other Comment Tools” para WordPress anteriores à 2.1.6 **Descrição** O problema diz respeito à ausência de uma verificação CSRF no recurso “Excluir comentários facilmente”, o que poderia permitir que invasores induzissem administradores conectados a excluir comentários arbitrários. **Recomendações** Para versões anteriores à 2.1.6, atualize para a versão 2.1.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do WP Simple Booking Calendar anteriores à 2.0.6 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL autenticada. Ele ocorre porque o parâmetro `orderby` na ação “Pesquisar calendários” não é devidamente escapado, validado ou sanitizado antes de ser utilizado em uma instrução SQL. Isso permite a injeção de código SQL malicioso. **Recomendações** Para versões anteriores à 2.0.6, atualize para a versão 2.0.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação “Search Calendars” para minimizar o risco de exploração. Evite usar o parâmetro `orderby` na ação afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin StopBadBots para WordPress anteriores à 6.60 **Descrição** O problema está relacionado à falha do plugin StopBadBots para WordPress em validar ou escapar os parâmetros GET `order` e `orderby` em algumas de suas páginas do painel de administração. Isso leva a injeções SQL autenticadas. **Recomendações** Para versões anteriores à 6.60, atualize para a versão 6.60 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas do painel de administração que utilizam os parâmetros GET `order` e `orderby` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin do WordPress “Membership & Content Restriction – Paid Member Subscriptions”, versões anteriores à 2.4.2 **Descrição** O problema diz respeito ao plugin do WordPress “Membership & Content Restriction – Paid Member Subscriptions”, no qual os parâmetros `order` e `orderby` não são devidamente sanitizados, validados ou escapados antes de serem utilizados em instruções SQL. Isso leva a injeções SQL autenticadas, afetando especificamente as páginas Membros e Pagamentos. **Recomendações** Para versões anteriores à 2.4.2, atualize para a versão 2.4.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas Membros e Pagamentos até que a atualização seja aplicada.