Michael Ritter

**Nome do software vulnerável e versões afetadas** Uncanny Groups para LearnDash em versões anteriores à 3.7 **Descrição** Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos autenticados injetem código JavaScript ou HTML arbitrário por meio de diversos parâmetros. Os parâmetros afetados incluem `ulgm code redeem` em user-code-redemption.php, `ulgm user first`, `ulgm user last`, `ulgm user email`, `ulgm code registration` e `ulgm terms conditions` em user-registration-form.php, ` ulgm total seats` em frontend-uo groups buy courses.php, `uncanny group signup user first`, `uncanny group signup user last`, `uncanny group signup user login` e `uncanny group signup user email` em group-registration-form.php, bem como os parâmetros GET `success-invited`, `bulk-errors` e `message` em frontend-uo groups.php. **Recomendações** Para resolver o problema, atualize para a versão 3.7 ou posterior. Como solução temporária, considere restringir o acesso aos parâmetros e arquivos afetados até que a atualização seja aplicada. Especificamente, restrinja o uso de `ulgm code redeem`, `ulgm user first`, `ulgm user last`, `ulgm user email`, `ulgm code registration`, `ulgm terms conditions`, ` ulgm total seats`, `uncanny group signup user first`, `uncanny group signup user last`, `uncanny group signup user login` e `uncanny group signup user email`, bem como os parâmetros GET `success-invited`, `bulk-errors` e `message` no arquivo frontend-uo groups.php.

**Nome do software vulnerável e versões afetadas** Versões do Uncanny Owl Tin Canny LearnDash Reporting anteriores à 3.4.4 **Descrição** A vulnerabilidade permite que invasores remotos autenticados injetem scripts web ou HTML arbitrários por meio de vários parâmetros, incluindo o parâmetro GET `search key` em TinCan Content List Table.php, o parâmetro GET `message` em licensing.php e vários parâmetros `tc filter` em reporting-admin-menu.php. Esses parâmetros incluem `tc filter group`, `tc filter user`, `tc filter course`, `tc filter lesson`, `tc filter module`, `tc filter action`, `tc filter data range` e `tc filter data range last`. **Recomendações** Para versões anteriores à 3.4.4, atualize para a versão 3.4.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros afetados, como `search key`, `message` e os parâmetros `tc filter`, até que um patch seja aplicado. Evite usar esses parâmetros nos pontos de extremidade da API afetados, especificamente em TinCan Content List Table.php e licensing.php, até que o problema seja resolvido.