Martino Spagnuolo

**Name of the Vulnerable Software and Affected Versions** HAProxy versões 2.6 até 3.3.5 **Description** O analisador HTTP/3 não verifica se o comprimento do corpo recebido corresponde a um content-length anunciado anteriormente quando o fluxo é fechado por meio de um frame com payload vazio. Isso pode causar problemas de dessincronização com o servidor de backend e pode ser usado para request smuggling, que é uma técnica utilizada para interferir na maneira como um site processa sequências de requisições HTTP. **Recommendations** Atualize para a versão 3.3.6 ou posterior.

**Name of the Vulnerable Software and Affected Versions** MailerPress versions prior to 1.4.3 **Description** A Server-Side Request Forgery (SSRF) issue exists in MailerPress. This allows for Server Side Request Forgery. The vulnerability affects the `mailerpress` component. **Recommendations** Update MailerPress to a version later than 1.4.2.

**Nome do Software Vulnerável e Versões Afetadas** Integração Oficial do Billingo para Billingo versões até 4.2.5 **Descrição** Existe uma falha de falta de autorização na Integração Oficial do Billingo para Billingo. Este problema permite a elevação de privilégios. **Recomendações** Atualize a Integração Oficial do Billingo para Billingo para uma versão posterior à 4.2.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Templazee anteriores à 1.0.2, inclusive **Descrição** Existe um problema de autorização no Templazee que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o Templazee para uma versão superior à 1.0.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Breeze Checkout até a 1.4.0 **Descrição** Existe uma falha de falta de autorização no Breeze Checkout. Esse problema permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o Breeze Checkout para uma versão posterior à 1.4.0.

**Nome do Software Vulnerável e Versões Afetadas** Email Attachment by Order Status & Products versões n/a até 1.0.1 **Descrição** O software contém uma falha relacionada ao tratamento inadequado de entrada durante a geração de páginas web, o que permite Cross-site Scripting (XSS) Refletido. Este problema impacta a aplicação Email Attachment by Order Status & Products. A falha poderia potencialmente permitir que um atacante injetasse scripts maliciosos em páginas web visualizadas por outros usuários. O componente afetado não é especificado. **Recomendações** Atualize o Email Attachment by Order Status & Products para uma versão superior a 1.0.1.

Nome do Software Vulnerável e Versões Afetadas: Hossein Material Dashboard versões n/a até 1.4.6 Descrição: Existe uma vulnerabilidade no mecanismo de recuperação de senhas esquecidas no Hossein Material Dashboard. Esse problema poderia permitir acesso não autorizado a contas. Recomendações: Atualize o Hossein Material Dashboard para uma versão superior à 1.4.6.

**Nome do Software Vulnerável e Versões Afetadas** Bonus for Woo versões N/A até 7.4.1 **Descrição** Existe uma validação inadequada da quantidade especificada na entrada no Bonus for Woo, potencialmente permitindo o acesso a funcionalidades não devidamente restritas por Listas de Controle de Acesso (ACLs). **Recomendações** Atualize o Bonus for Woo para uma versão posterior à 7.4.1.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SoftMe até a 1.1.24 **Descrição** Existe uma falha de autorização no DesertThemes SoftMe, permitindo exploração devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o SoftMe para uma versão superior à 1.1.24.

**Nome do Software Vulnerável e Versões Afetadas** webriti Shk Corporate versões até a 2.4.1.1 **Descrição** O software contém uma falha de autorização ausente devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** aitool Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One versões n/a até 2.2.6 **Descrição** Existe uma vulnerabilidade de Falsificação de Requisição no Lado do Servidor (SSRF) no aitool Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One. Este problema permite a Falsificação de Requisição no Lado do Servidor. **Recomendações** Atualize o aitool Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One para uma versão posterior à 2.2.6.

**Nome do Software Vulnerável e Versões Afetadas** INVELITY Invelity MyGLS connect versões até a 1.1.1 **Descrição** Trata-se de uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) que permite Injeção de Objetos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** emarket-design Employee Directory – Staff Listing & Team Directory Plugin for WordPress versions through 4.5.3 **Description** The Employee Directory – Staff Listing & Team Directory Plugin for WordPress is susceptible to object injection due to deserialization of untrusted data. This issue allows for potential code execution. **Recommendations** Update Employee Directory – Staff Listing & Team Directory Plugin for WordPress to a version later than 4.5.3.

**Nome do Software Vulnerável e Versões Afetadas** WP Ticket Customer Service Software & Support Ticket System versões até a 6.0.2 **Descrição** A desserialização de dados não confiáveis no software permite a injeção de objetos. **Recomendações** Atualize o WP Ticket Customer Service Software & Support Ticket System para uma versão posterior à 6.0.2.

**Name of the Vulnerable Software and Affected Versions** YouTube Showcase versions through 3.5.1 **Description** An improper control of generation of code ('Code Injection') vulnerability exists in emarket-design YouTube Showcase, allowing Object Injection. **Recommendations** Update YouTube Showcase to a version later than 3.5.1.

**Nome do Software Vulnerável e Versões Afetadas** emarket-design Employee Spotlight versões n/a até 5.1.1 **Descrição** O software contém um problema de desserialização de dados não confiáveis, o que permite a injeção de objetos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP Easy Contact até a 4.0.1 **Descrição** A desserialização de dados não confiáveis no WP Easy Contact permite a injeção de objetos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: ameliabooking Booking System Trafft versões até a 1.0.14 Descrição: O software Booking System Trafft contém uma vulnerabilidade de Cross-site Scripting (XSS) Armazenado. Isso ocorre devido à neutralização inadequada de entrada durante a geração da página web. Recomendações: Atualize o ameliabooking Booking System Trafft para uma versão posterior à 1.0.14.

Nome do Software Vulnerável e Versões Afetadas: DELUCKS SEO versões até a 2.6.0 Descrição: Existe um problema de atribuição incorreta de privilégios no DELUCKS SEO, permitindo escalonamento de privilégios. Recomendações: Atualize o DELUCKS SEO para uma versão posterior à 2.6.0.

Nome do Software Vulnerável e Versões Afetadas: miniOrange Prevent files / folders access versões n/a até 2.6.0 Descrição: Existe uma vulnerabilidade de path traversal no miniOrange Prevent files / folders access, permitindo que atacantes atravessem os caminhos dos arquivos. Esta falha permite a traversão de caminho dentro da aplicação. Recomendações: Atualize o miniOrange Prevent files / folders access para uma versão superior à 2.6.0.