Muhan Luo

**Nome do Software Vulnerável e Versões Afetadas** JTL-Connector for WooCommerce versões anteriores a 2.4.2 **Descrição** O plugin apresenta falta de autorização devido à ausência de verificações de capacidade e de nonce. Isso permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior modifiquem configurações arbitrárias do plugin, baixem um arquivo ZIP dos logs de desenvolvedor e excluam esses logs. O problema afeta a ação 'admin post settings save woo-jtl-connector' processada pela função `save()` em `JtlConnectorAdmin`, bem como as ações AJAX 'wp ajax downloadJTLLogs' e 'wp ajax clearJTLLogs' processadas pelas funções `downloadJTLLogs()` e `clearJTLLogs()`. **Recomendações** Atualize o plugin para a versão 2.4.2 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Plugin wpForo Forum para WordPress versões anteriores à 2.4.6 Descrição: O plugin wpForo Forum para WordPress está suscetível a Cross-Site Scripting Armazenado através do upload de arquivos SVG. A sanitização de entrada e o escape de saída insuficientes permitem que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários nas páginas. Esses scripts são executados quando um usuário acessa o arquivo SVG. Recomendações: Atualize o plugin wpForo Forum para a versão 2.4.6 ou posterior.