Mcdruid

**Nome do Software Vulnerável e Versões Afetadas** OttoKit: All-in-One Automation Platform WordPress plugin versões anteriores a 1.1.23 **Descrição** A sanitização insuficiente de entradas de usuário utilizadas em uma instrução SQL permite que atacantes não autenticados realizem ataques de injeção de SQL. **Recomendações** Atualize o plugin para a versão 1.1.23 ou posterior.

**Name of the Vulnerable Software and Affected Versions** elFinder versões anteriores a 2.1.67 **Description** Um problema existe no comando resize onde o parâmetro `bg` (cor de fundo) é aceito a partir da entrada do usuário e passado pelo processamento de redimensionamento ou rotação de imagem. Em configurações que utilizam o backend ImageMagick CLI, este valor é incorporado em strings de comando do shell sem a sanitização adequada, permitindo que um invasor execute comandos arbitrários como o usuário do processo do servidor web. **Recommendations** Atualizar para a versão 2.1.67.

**Name of the Vulnerable Software and Affected Versions** Product Filter for WooCommerce by WBW WordPress plugin versões anteriores a 3.1.3 **Description** Existe um problema onde um parâmetro não é sanitizado ou escapado antes de ser usado em uma instrução SQL. Isso permite que usuários não autenticados realizem ataques de injeção de SQL, que envolvem a inserção de código SQL malicioso em uma consulta para manipular o banco de dados. **Recommendations** Atualize o plugin para a versão 3.1.3 ou posterior.

**Name of the Vulnerable Software and Affected Versions** wpdevelop Booking Calendar versions through 10.14.15 **Description** A flaw exists in wpdevelop Booking Calendar that allows for Blind SQL Injection due to improper neutralization of special elements used in an SQL command. This issue could potentially allow an attacker to extract sensitive information from the database. **Recommendations** Update wpdevelop Booking Calendar to a version later than 10.14.15.

Nome do Software Vulnerável e Versões Afetadas WP Royal Royal Elementor Addons versões até 1.7.1049 Descrição O software contém uma vulnerabilidade relacionada à inclusão de funcionalidades a partir de uma esfera de controle não confiável, possivelmente permitindo acesso a funcionalidades não devidamente restringidas por listas de controle de acesso (ACLs). Recomendações Atualize o WP Royal Royal Elementor Addons para uma versão posterior à 1.7.1049.

**Name of the Vulnerable Software and Affected Versions** Marketing Fire Widget Options versions through 4.1.3 **Description** A code injection issue exists in the Widget Options component. This allows for the injection of code. The issue is related to improper control of code generation. **Recommendations** Update to a version later than 4.1.3.

**Name of the Vulnerable Software and Affected Versions** YITH WooCommerce Compare versions through 3.6.0 **Description** The YITH WooCommerce Compare plugin contains a flaw related to the deserialization of untrusted data, which can lead to object injection. This issue allows for potential compromise of the system through malicious data. **Recommendations** Update YITH WooCommerce Compare to a version later than 3.6.0.

**Nome do Software Vulnerável e Versões Afetadas** Mohammad I. Okfie IF AS Shortcode versões até a 1.2 **Descrição** Existe uma vulnerabilidade de injeção de código no Mohammad I. Okfie IF AS Shortcode. A falha permite a injeção de código, possibilitando potencialmente que atacantes executem código malicioso. O componente afetado é o IF AS Shortcode. **Recomendações** Versões anteriores à 1.3 são vulneráveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** BoldGrid Client Invoicing by Sprout Invoices versões até a 20.8.7 **Descrição** Existe uma falha no BoldGrid Client Invoicing by Sprout Invoices que permite a Injeção de Objetos devido à desserialização de dados não confiáveis. Isso pode levar ao potencial comprometimento do sistema. **Recomendações** Atualize para uma versão posterior à 20.8.7.

**Nome do Software Vulnerável e Versões Afetadas** universam UNIVERSAM universam-demo versões n/a até 8.72.34 **Descrição** O software contém uma falha devido à desserialização de dados não confiáveis, o que permite a injeção de objeto. Este problema afeta a aplicação universam UNIVERSAM universam-demo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Improper Control of Generation of Code ('Code Injection') vulnerability in Cristián Lávaque s2Member s2member.This issue affects s2Member: from n/a through <= 250905.

**Name of the Vulnerable Software and Affected Versions** Boldermail versions through 2.4.0 **Description** A flaw exists in Boldermail that allows for Object Injection due to deserialization of untrusted data. This issue impacts Boldermail and could potentially allow an attacker to execute arbitrary code. **Recommendations** Update Boldermail to a version newer than 2.4.0.

**Nome do Software Vulnerável e Versões Afetadas** raoinfotech GSheets Connector versões até a 1.1.1 **Descrição** Existe uma falha no raoinfotech GSheets Connector que permite Injeção de Objetos devido à desserialização de dados não confiáveis. Este problema impacta a capacidade do aplicativo de lidar seguramente com dados recebidos, potencialmente levando a acesso ou controle não autorizado. A vulnerabilidade está relacionada ao processo de desserialização, onde dados não confiáveis são convertidos em um objeto, potencialmente permitindo que um atacante manipule o estado do aplicativo. **Recomendações** Atualize o raoinfotech GSheets Connector para uma versão superior à 1.1.1.

**Nome do Software Vulnerável e Versões Afetadas** ConveyThis Language Translate Widget para WordPress versões até a 264 **Descrição** O ConveyThis Language Translate Widget para WordPress é suscetível à desserialização de dados não confiáveis, o que permite a injeção de objetos. Esse problema pode potencialmente permitir que um atacante comprometa o sistema manipulando dados serializados. **Recomendações** Atualize o ConveyThis Language Translate Widget para WordPress para uma versão posterior à 264.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Awesome Support até a 6.3.4 **Descrição** O software contém uma falha devido à desserialização de dados não confiáveis, o que permite a injeção de objetos. **Recomendações** Atualize o Awesome Support para uma versão posterior à 6.3.4.

**Nome do Software Vulnerável e Versões Afetadas** eDS Responsive Menu versões até a 1.2 **Descrição** Existe um problema de deserialização de dados não confiáveis no eDS Responsive Menu, permitindo injeção de objetos. Isso pode ocorrer devido à deserialização de dados não confiáveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Aitasi Coming Soon versões N/A até 2.0.2 **Descrição** Existe uma vulnerabilidade de desserialização no Rubel Miah Aitasi Coming Soon, potencialmente permitindo injeção de objetos. Isso ocorre devido à desserialização de dados não confiáveis. **Recomendações** Atualize o Aitasi Coming Soon para uma versão superior à 2.0.2.

**Nome do Software Vulnerável e Versões Afetadas** LTL Freight Quotes - TQL Edition versões n/a até 1.2.6 **Descrição** A desserialização de dados não confiáveis no LTL Freight Quotes - TQL Edition permite a injeção de objetos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** LTL Freight Quotes – Day & Ross Edition versões até a 2.1.11 **Descrição** A desserialização de dados não confiáveis no LTL Freight Quotes – Day & Ross Edition permite injeção de objetos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** LTL Freight Quotes – Daylight Edition versões até a 2.2.7 **Descrição** Existe uma vulnerabilidade de desserialização de dados não confiáveis no enituretechnology LTL Freight Quotes – Daylight Edition, permitindo a injeção de objetos. **Recomendações** Atualize o LTL Freight Quotes – Daylight Edition para uma versão superior à 2.2.7.