Ngô Thiên An

Nome do Software Vulnerável e Versões Afetadas: EventON versões n/a até 2.3.2 Descrição: O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos PHP' (PHP Remote File Inclusion). Este é um tipo de vulnerabilidade na qual um atacante pode manipular o nome do arquivo usado em declarações include ou require, potencialmente permitindo-lhes executar código malicioso. Recomendações: Para as versões n/a até 2.3.2, atualize para uma versão posterior à 2.3.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: AREOI All Bootstrap Blocks, versões 1.3.19 e anteriores Descrição: O problema está relacionado a um controle inadequado dos nomes de arquivos nas instruções include/require em programas PHP, também conhecido como vulnerabilidade de “Inclusão Remota de Arquivos PHP”. Isso permite a inclusão local de arquivos PHP. Recomendações: Para as versões 1.3.19 e anteriores, atualize para uma versão que corrija este problema, pois a versão atual permite a inclusão de arquivos locais em PHP devido ao controle inadequado de nomes de arquivos nas instruções include/require. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Andy Moyle Church Admin, versões n/a a 4.4.4 **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões n/a a 4.4.4, atualize para uma versão posterior à 4.4.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Blockspare versões 3.2.4 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, o que permite um ataque XSS armazenado. Isso significa que um invasor pode injetar código malicioso na página da Web, afetando potencialmente os usuários que acessarem a página. **Recomendações** Para as versões 3.2.4 e anteriores, atualize para uma versão posterior à 3.2.4 para resolver o problema. Como solução alternativa temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Restrinja o acesso a áreas confidenciais do aplicativo web para minimizar o risco de ataques Stored XSS.

**Nome do software vulnerável e versões afetadas** Versões do ElementsKit Pro até a 3.6.0 **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como vulnerabilidade de “traversal de caminho”, que permite a inclusão de arquivos locais no PHP. Isso pode potencialmente levar ao comprometimento do sistema. **Recomendações** Para as versões até a 3.6.0, atualize o plugin para a versão corrigida mais recente o mais rápido possível. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Delicious Recipes – WordPress Recipe Plugin, versões 1.6.7 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no plugin WP Delicious Delicious Recipes – WordPress Recipe Plugin. **Recomendações** Para o plugin Delicious Recipes – WordPress Recipe Plugin nas versões 1.6.7 e anteriores, atualize para uma versão posterior à 1.6.7 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Collapsing Archives versões 3.0.5 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, o que permite um ataque XSS armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, afetando potencialmente os usuários que acessarem a página comprometida. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 3.0.5 e anteriores, atualize para uma versão posterior à 3.0.5 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Evite usar campos de entrada potencialmente vulneráveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** DSGVO All in one for WP, versões n/a a 4.5 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, o que permite o Stored Cross-site Scripting (XSS). Trata-se de um tipo de vulnerabilidade de segurança que ocorre quando um aplicativo inclui entradas do usuário em sua saída sem validação ou sanitização adequadas, permitindo que um invasor injete scripts maliciosos no site. **Recomendações** Para as versões n/a a 4.5, atualize para uma versão que inclua uma correção para este problema, uma vez que não é fornecida nenhuma solução alternativa específica para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** As versões do Plus Addons para Elementor até a 5.6.2, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do parâmetro `carousel direction` do widget de depoimentos. Isso se deve à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário, permitindo que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários nas páginas. Esses scripts serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 5.6.2, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso ao widget de depoimentos ou desativar o parâmetro `carousel direction` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** AREOI All Bootstrap Blocks, versões 1.3.19 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite o XSS armazenado. Isso significa que um invasor pode injetar código malicioso no site, que será armazenado e executado quando outros usuários acessarem o site. **Recomendações** Para as versões 1.3.19 e anteriores, atualize para uma versão que corrija a vulnerabilidade de neutralização inadequada de entradas durante a geração de páginas da Web. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Meta Field Block, versões 1.2.13 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 1.2.13 e anteriores, atualize para a versão 1.2.14 para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin Meta Field Block até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Custom Layouts – Post + Product grids made easy, versões n/a a 1.4.11 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite o XSS armazenado. Isso significa que um invasor pode injetar código malicioso em um site, afetando potencialmente os usuários que o visitam. **Recomendações** Para as versões n/a a 1.4.11, atualize para a versão 1.4.12 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário em layouts personalizados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Blockspare versões 3.2.0 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 3.2.0 e anteriores do Blockspare, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** O plugin Element Pack Elementor Addons para versões do WordPress até a 5.7.2, inclusive **Descrição** A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio dos widgets do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário, como `title tag`. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 5.7.2, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso aos widgets do plugin para usuários com acesso de nível de colaborador ou superior até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin Spectra Pro para o WordPress, versões até a 1.1.4, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio de IDs de bloco, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para o plugin Spectra Pro para versões do WordPress até e incluindo a 1.1.4, atualize para uma versão superior à 1.1.4 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin SiteOrigin Widgets Bundle para o WordPress, versões até a 1.62.2, inclusive Descrição: O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do widget Image Grid, devido à sanitização insuficiente de entradas e à falta de escapamento de saída em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Recomendações: Para versões até a 1.62.2, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso ao widget Image Grid para usuários com acesso de nível de colaborador e superior até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Elegant Themes Icons, versões 1.3 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 1.3 e anteriores do Elegant Themes Icons, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Arkhe Blocks versões 2.22.1 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 2.22.1 e anteriores, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Caxton – Criação de layouts de página no Gutenberg, versões 1.30.1 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite a ocorrência de XSS armazenado, que pode ser explorado. **Recomendações** Para as versões 1.30.1 e anteriores, atualize para uma versão posterior à 1.30.1 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação.

**Nome do software vulnerável e versões afetadas** Plugin Genesis Blocks para versões do WordPress até a 3.1.3, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do bloco de compartilhamento do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para o plugin Genesis Blocks para versões do WordPress até a 3.1.3, inclusive, atualize para uma versão posterior à 3.1.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao bloco de compartilhamento para usuários com acesso de nível de colaborador e superior até que um patch esteja disponível.