Mohammad Reza Omrani

**Nome do software vulnerável e versões afetadas** Versões do Apache Answer até a 1.3.5 **Descrição** O link de redefinição de senha permanece válido dentro do seu prazo de validade mesmo após ter sido utilizado, o que pode levar a uso indevido ou sequestro. **Recomendações** Para as versões do Apache Answer até a 1.3.5, atualize para a versão 1.3.6 para corrigir o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Answer até a 1.3.5 **Descrição** A vulnerabilidade afeta o Apache Answer, onde um usuário pode enviar vários e-mails de redefinição de senha, cada um contendo um link válido. Dentro do período de validade do link, isso poderia potencialmente levar ao uso indevido ou ao sequestro do link. **Recomendações** Para versões até a 1.3.5, atualize para a versão 1.3.6 para corrigir o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Answer até a 1.2.1 **Descrição** A vulnerabilidade afeta o Apache Answer, permitindo que um usuário conectado provoque um ataque de inundação de pixels (Pixel Flood Attack) ao enviar arquivos de imagem de grande tamanho, o que pode fazer com que o servidor fique sem memória. Isso pode ser feito ao enviar uma imagem ao publicar conteúdo. **Recomendações** Para as versões do Apache Answer até a 1.2.1, atualize para a versão 1.2.5, que corrige o problema. Como solução temporária, considere restringir o envio de imagens por usuários conectados até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Apache Answer até a 1.2.1 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “condição de corrida” (race condition), causada por sincronização inadequada durante a execução simultânea com o uso de recursos compartilhados. Isso pode levar à criação de várias contas de usuário com o mesmo nome quando os usuários enviam rapidamente vários registros por meio de scripts. **Recomendações** Para as versões do Apache Answer até a 1.2.1, atualize para a versão 1.2.5, que corrige o problema. Como solução temporária, considere restringir envios rápidos durante o registro para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Smart Forms para WordPress anteriores à 2.6.87 **Descrição** O problema diz respeito à falta de autorização em várias ações AJAX dentro do plugin, permitindo que usuários com uma função de baixo nível, como um assinante, realizem ações não autorizadas, como excluir entradas. Além disso, o plugin carece de verificações CSRF em algumas áreas, possibilitando que invasores induzam usuários conectados a realizar ações indesejadas por meio de ataques CSRF, incluindo a exclusão de entradas. **Recomendações** Para versões anteriores à 2.6.87, atualize para a versão 2.6.87 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às ações AJAX e implementar verificações CSRF para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** kk Star Ratings WordPress plugin versions prior to 5.4.6 **Description** The issue allows a user to vote multiple times on a poll due to a Race Condition, as the plugin does not implement atomic operations. **Recommendations** For versions prior to 5.4.6, update to version 5.4.6 or later to resolve the issue.