Murat Demirci

**Nome do Software Vulnerável e Versões Afetadas** Backup and Restore versão 1.0.3 **Descrição** Atacantes autenticados podem excluir arquivos arbitrários do diretório de instalação do WordPress. Isso é feito enviando solicitações POST para o endpoint 'admin-ajax.php' com os parâmetros `file name` e `folder name` manipulados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** AccessPress Social Icons versão 1.8.2 **Descrição** Um problema de cross-site scripting armazenado permite que atacantes autenticados injetem scripts maliciosos. Isso ocorre quando payloads de JavaScript, como tags de imagem com manipuladores de evento `onerror`, são inseridos no campo `icon title`. Esses scripts são executados quando um usuário visualiza a interface do plugin, afetando todos os usuários que acessam essa página. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Ultimate Product Catalog versão 5.8.2 **Descrição** Uma falha de cross-site scripting armazenada permite que atacantes autenticados injetem scripts maliciosos. Isso é feito enviando requisições POST para o endpoint 'post.php' utilizando o parâmetro `price` para incluir payloads de HTML ou JavaScript, que então executam código arbitrário quando um produto é visualizado. **Recomendações** Como medida paliativa temporária, restrinja ou valide a entrada do parâmetro `price` no endpoint 'post.php'. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WP Symposium Pro versão 2021.10 **Descrição** Um problema de cross-site scripting armazenado existe onde atacantes autenticados podem injetar scripts maliciosos devido à sanitização insuficiente do nome do fórum. Atacantes podem enviar requisições POST para a página de configuração do administrador usando o parâmetro `wps admin forum add name` para armazenar payloads de JavaScript que são executados quando o fórum é acessado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Filterable Portfolio Gallery versão 1.0 **Descrição** Um problema de cross-site scripting armazenado permite que atacantes autenticados injetem JavaScript malicioso. Isso é feito inserindo payloads no campo de título, como tags de imagem com manipuladores `onerror`. O código injetado é executado quando os usuários visualizam a galeria, afetando todos os visitantes da página. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.