Mike Gozdiskowski

**Name of the Vulnerable Software and Affected Versions** Guest posting / Frontend Posting / Front Editor WordPress plugin versions prior to 5.0.6 **Description** The plugin allows passing a URL parameter to regenerate a .json file based on demo data. If an administrator modifies the demo form and enables admin notifications, an unauthenticated attacker can export and download all form data and settings, including the administrator's email address. The vulnerable functionality involves the regeneration of a `.json` file based on demo data using a URL parameter. **Recommendations** Update the Guest posting / Frontend Posting / Front Editor WordPress plugin to version 5.0.6 or later.

Nome do Software Vulnerável e Versões Afetadas: Disable-right-click-powered-by-pixterme versões até a 1.2 pixter-image-digital-license versões até a 1.0 Descrição: Os plugins do WordPress Disable-Right-Click e Pixter Image Digital License carregam um arquivo JavaScript comprometido de um bucket S3 abandonado. Isso permite acesso não autorizado e potencial controle do plugin pela entidade que controla o bucket comprometido. Atualmente, o arquivo comprometido exibe um alerta promovendo serviços de segurança, com os usuários que pagam sendo adicionados ao allowedDomains para suprimir o popup. Recomendações: As versões do Disable-right-click-powered-by-pixterme anteriores à 1.2 devem ser atualizadas. As versões do pixter-image-digital-license anteriores à 1.0 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Order Delivery Date para WordPress anteriores à 12.3.1 **Descrição** O problema refere-se à falta de verificações de autorização e CSRF durante a importação de configurações no plugin Order Delivery Date para WordPress. Isso permite que atacantes modifiquem opções sensíveis, como `default user role` para administrador e `users can register`, permitindo-lhes registrar-se como administradores do site e obter controle total. **Recomendações** Para versões anteriores à 12.3.1, atualize para a versão 12.3.1 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir o acesso à funcionalidade de importação de configurações até que um patch seja aplicado. Além disso, monitore atentamente os registros de usuários e as atribuições de funções para detectar qualquer atividade maliciosa em potencial.