Md. Tareq Ahamed Jony

**Nome do Software Vulnerável e Versões Afetadas** MotoPress Hotel Booking versões anteriores a 6.0.2 **Descrição** O plugin MotoPress Hotel Booking para WordPress contém uma falha de bypass de autorização resultante da verificação inadequada das permissões do usuário. Atacantes não autenticados podem sobrescrever ou excluir notas internas ao fornecer um ID de reserva arbitrário. Isso é possível porque o nonce necessário é exposto no código-fonte HTML de todas as páginas públicas via `wp localize script` na variável `MPHB. data.nonces`, permitindo que qualquer visitante realize a ação sem possuir uma conta. A variável afetada é ` mphb booking internal notes`. **Recomendações** Atualize para a versão 6.0.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** WPBookit versions up to and including 1.0.8 **Description** The WPBookit plugin for WordPress is susceptible to Stored Cross-Site Scripting. This is due to insufficient input sanitization and output escaping in the `wpb user name` and `wpb user email` parameters. An unauthenticated attacker can inject arbitrary web scripts into pages, which will execute when a user accesses the injected page. **Recommendations** Update WPBookit to a version later than 1.0.8.

**Name of the Vulnerable Software and Affected Versions** SEATT: Simple Event Attendance plugin for WordPress versions prior to 1.5.1 **Description** The SEATT: Simple Event Attendance plugin for WordPress is susceptible to Cross-Site Request Forgery (CSRF). This is caused by a lack of nonce validation when deleting events. An unauthenticated attacker could potentially delete events by tricking an administrator into performing an action, such as clicking a malicious link. The vulnerable functionality involves event deletion. **Recommendations** Update the SEATT: Simple Event Attendance plugin to version 1.5.1 or later.