Mgthuramoemyint

**Nome do software vulnerável e versões afetadas** ARForms - Plugin Premium de criação de formulários para WordPress, versão 6.4.0 e anteriores **Descrição** O problema decorre da escapação inadequada de entradas controladas pelo usuário quando estas são refletidas em algumas das ações AJAX do plugin. Isso pode levar a possíveis riscos de segurança. **Recomendações** Para versões anteriores à 6.4.1, atualize para a versão 6.4.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** ARForms - Plugin Premium de criação de formulários para WordPress, versões anteriores à 6.6 **Descrição** A vulnerabilidade permite que usuários não autenticados modifiquem arquivos enviados, possibilitando o envio de código PHP quando um campo de entrada para upload de arquivo é incluído em um formulário. **Recomendações** Para versões anteriores à 6.6, atualize para a versão 6.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Premium Addons for Elementor para o WordPress, versões até e incluindo a 4.10.31 **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior recuperem dados de modelos do Elementor devido à falta de uma verificação de permissão na função `get template content()`. Isso possibilita o acesso não autorizado aos dados. **Recomendações** Para versões até a 4.10.31, inclusive, atualize para uma versão superior à 4.10.31 para resolver o problema. Como solução temporária, considere restringir o acesso à função `get template content()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin “Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce”, versões até e incluindo a 5.7.17 **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de assinante ou superior obtenham o conteúdo de publicações privadas e protegidas por senha devido à falta de uma verificação de permissão na função `get template content`. Isso possibilita o acesso não autorizado a dados confidenciais. **Recomendações** Para versões até e incluindo a 5.7.17, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função `get template content`, a fim de impedir o acesso não autorizado a publicações privadas e protegidas por senha.

**Nome do software vulnerável e versões afetadas** The Ivory Search – Plugin de pesquisa para WordPress, versões até a 5.5.5, inclusive **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior modifiquem dados sem autorização devido à falta de uma verificação de permissão na função `ajax create index()`. Isso possibilita que eles acionem a criação de índices. **Recomendações** Para versões até a 5.5.5, inclusive, considere desativar a função `ajax create index()` até que um patch esteja disponível para impedir a modificação não autorizada de dados. Restrinja o acesso à função afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin “Customer Reviews for WooCommerce” para o WordPress, versões até e incluindo a 5.46.0 **Descrição** O problema está relacionado ao envio não autorizado de e-mails devido à falta de uma verificação de permissão na função `send test email()`. Isso permite que invasores autenticados com acesso de nível de assinante ou superior enviem e-mails de teste arbitrários. **Recomendações** Para versões até a 5.46.0, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função `send test email()`. Como solução temporária, considere restringir o acesso à função `send test email()` para impedir o envio não autorizado de e-mails.

**Nome do software vulnerável e versões afetadas** Avaliações de clientes do plugin WooCommerce para WordPress (versões afetadas não especificadas) **Descrição** A falha permite o acesso não autorizado a dados devido à ausência de uma verificação de permissão na função `woocommerce json search coupons`. Isso permite que invasores com acesso de nível de assinante visualizem códigos de cupom. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WPZOOM Social Feed Widget & Block para o WordPress, versões até a 2.1.13, inclusive **Descrição** O problema está relacionado ao acesso não autorizado devido à falta de verificação de permissão na função `wpzoom instagram clear data()`. Isso permite que invasores autenticados com acesso de nível de assinante ou superior excluam todas as imagens do Instagram instaladas no site. **Recomendações** Para versões até a 2.1.13, inclusive, atualize para uma versão superior à 2.1.13 para resolver o problema. Como solução temporária, considere desativar a função `wpzoom instagram clear data()` até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Relevanssi – Plug-in “A Better Search” para o WordPress, versões até a 4.22.1, inclusive **Descrição** A vulnerabilidade permite que invasores não autenticados insiram dados não confiáveis em arquivos CSV exportados, o que pode resultar na execução de código quando esses arquivos forem baixados e abertos em um sistema local com uma configuração vulnerável. Isso se deve a uma vulnerabilidade de injeção de CSV. **Recomendações** Para versões até a 4.22.1, inclusive, atualize para uma versão posterior à 4.22.1 para resolver o problema. Como solução temporária, considere evitar a exportação de arquivos CSV até que um patch esteja disponível. Restrinja o acesso ao recurso de exportação de CSV para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin Relevanssi – A Better Search para o WordPress, nas versões até a 4.22.1, inclusive **Descrição** A vulnerabilidade permite a modificação não autorizada de dados devido à falta de verificação de permissão na função `relevanssi update counts()`. Isso possibilita que invasores não autenticados executem consultas onerosas no aplicativo, podendo levar a um ataque de negação de serviço (DOS). **Recomendações** Para versões até a 4.22.1, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de capacidade na função `relevanssi update counts()`. Como solução temporária, considere desativar a função `relevanssi update counts()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin de assinatura paga ProfilePress Membership Team, comércio eletrônico, formulário de registro de usuário, formulário de login, perfil de usuário e restrição de conteúdo – versões do ProfilePress de n/a a 4.3.2 **Descrição** O problema está relacionado à deserialização de dados não confiáveis, o que afeta o plugin de assinatura paga, comércio eletrônico, formulário de registro de usuário, formulário de login, perfil de usuário e restrição de conteúdo – ProfilePress. **Recomendações** Para as versões n/a a 4.3.2, atualize para uma versão posterior à 4.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso às funções de deserialização de dados não confiáveis até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do plugin Quiz And Survey Master anteriores à 7.3.10 **Descrição** Foi detectada uma vulnerabilidade de divulgação de informações confidenciais no plugin Quiz And Survey Master para WordPress. **Recomendações** Para versões anteriores à 7.3.10, atualize para a versão 7.3.10 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Quiz And Survey Master, versões 7.3.10 e anteriores **Descrição** Existe uma vulnerabilidade de contorno no plugin Quiz And Survey Master para WordPress. **Recomendações** Para as versões 7.3.10 e anteriores, atualize para uma versão posterior à 7.3.10 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Quiz And Survey Master <= 7.3.10 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) autenticada. Isso significa que um invasor com acesso de nível de assinante ou superior pode injetar scripts maliciosos no site, o que pode levar a ações não autorizadas. **Recomendações** Para as versões do plugin Quiz And Survey Master <= 7.3.10, atualize para uma versão superior à 7.3.10 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Yasr – Yet Another Stars Rating, plugin do WordPress, versões <= 2.9.9 **Descrição** Foi detectada uma vulnerabilidade de Cross-Site Scripting (XSS) relacionada ao parâmetro `source`. **Recomendações** Para as versões <= 2.9.9 do plugin Yasr – Yet Another Stars Rating para WordPress, atualize para uma versão superior à 2.9.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `source` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin NextGEN Gallery Pro para WordPress anteriores à 3.1.11 **Descrição** O problema diz respeito ao módulo de comércio eletrônico do plugin NextGEN Gallery Pro para WordPress. Envolve uma ação que chama `get cart items` via `photocrati ajax`, permitindo a injeção de JavaScript malicioso através de `settings[shipping address][name]`. **Recomendações** Para versões anteriores à 3.1.11, atualize para a versão 3.1.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `photocrati ajax` para minimizar o risco de exploração. Evite usar a variável `settings[shipping address][name]` no endpoint da API afetado até que o problema seja resolvido.