Michał Lipiński

Nome do Software Vulnerável e Versões Afetadas Lodash versões 4.0.0 a 4.17.22 Descrição As versões 4.0.0 a 4.17.22 do Lodash são vulneráveis à poluição de protótipo nas funções ` .unset` e ` .omit`. Um atacante pode explorar caminhos elaborados para disparar a exclusão de métodos dos protótipos globais. O problema permite a exclusão de propriedades, mas não permite a modificação do comportamento original dessas propriedades. Recomendações Atualize para a versão 4.17.23 do Lodash ou posterior.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.4 do plugin Video Player for YouTube para WordPress **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador definam uma carga de Cross-Site Scripting nos parâmetros do shortcode, que será acionada nas páginas que contenham o shortcode malicioso incorporado. **Recomendações** Para versões anteriores à 1.4, atualize para a versão 1.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do shortcode para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “The Html5 Audio Player – Audio Player for WordPress” em versões anteriores à 2.1.3 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador definam uma carga de Cross-Site Scripting nos parâmetros do shortcode, que será acionada nas páginas com o shortcode malicioso incorporado. **Recomendações** Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Easy Twitter Feed para WordPress anteriores à 1.2 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador definam uma carga de Cross-Site Scripting nos parâmetros do shortcode, que será acionada nas páginas que contenham o shortcode malicioso incorporado. **Recomendações** Para versões anteriores à 1.2, atualize para a versão 1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do shortcode para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** The Polo Video Gallery – Versões do melhor plugin de galeria de vídeos para WordPress até a versão 1.2 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador definam uma carga de Cross-Site Scripting nos parâmetros de seu shortcode, que será acionada nas páginas com o shortcode malicioso incorporado. Isso ocorre porque o plugin não sanitiza nem valida os parâmetros de seu shortcode. **Recomendações** Para versões até a 1.2, considere desativar a funcionalidade de shortcode até que uma correção esteja disponível para evitar a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de incorporação de shortcodes maliciosos. Evite usar o shortcode do plugin em páginas confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin StreamCast – Radio Player for WordPress anteriores à 2.1.1 **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de colaborador definam uma carga de Cross-Site Scripting nos parâmetros de seu shortcode, que será acionada nas páginas com o shortcode malicioso incorporado. **Recomendações** Para versões anteriores à 2.1.1, atualize para a versão 2.1.1 ou posterior para resolver o problema.