Nguyen C

**Nome do Software Vulnerável e Versões Afetadas** Royal Addons for Elementor versões anteriores a 1.7.1057 **Descrição** O plugin Royal Addons for Elementor para WordPress permite a modificação não autorizada de dados devido à ausência de uma verificação de capacidade na ação AJAX `wpr update form action meta`. O manipulador está registrado nos hooks `wp ajax` e `wp ajax nopriv`, tornando-o acessível a usuários não autenticados. Embora um nonce (`wpr-addons-js`) seja verificado, ele está exposto publicamente no JavaScript do frontend via `WprConfig.nonce` em páginas que carregam widgets do Royal Addons, tornando a proteção ineficaz. O endpoint carece de verificações de capacidade ou propriedade e chama diretamente a função `update post meta()` com entrada controlada pelo usuário em um conjunto permitido de chaves de meta de ação de formulário. Isso permite que atacantes não autenticados modifiquem metadados de configuração de ação de formulário (e-mail, envios, Mailchimp e configurações de webhook) em qualquer postagem, podendo levar à adulteração de ações de webhook/e-mail e exfiltração de dados por meio de URLs de webhook modificadas. **Recomendações** Atualize o plugin para uma versão posterior a 1.7.1056.

Name of the Vulnerable Software and Affected Versions O plugin The Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress versões até 7.8.10.2 Description O plugin The Hustle – Email Marketing, Lead Generation, Optins, Popups para WordPress é suscetível a modificação não autorizada de dados. Uma verificação de capacidade ausente na ação AJAX `hustle module converted` permite que invasores não autenticados forjem eventos de rastreamento de conversão para qualquer módulo Hustle, incluindo módulos de rascunho. Essa manipulação pode afetar as análises de marketing e as estatísticas de conversão. Recommendations Atualize para uma versão superior a 7.8.10.2

**Name of the Vulnerable Software and Affected Versions** Phlox Theme plugin for WordPress versions through 2.17.13 **Description** The Shortcodes and extra features for Phlox theme plugin for WordPress is susceptible to information disclosure. This issue affects the `auxels ajax search` component due to inadequate restrictions on post inclusion. An unauthenticated attacker can potentially extract titles of draft posts that they are not authorized to view. **Recommendations** Update the Phlox Theme plugin to a version beyond 2.17.13.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Advanced Product Fields (Product Addons) for WooCommerce para WordPress em versões anteriores à 1.6.18 **Descrição** O software está suscetível a Cross-Site Request Forgery (CSRF). Isso resulta de uma validação de nonce inadequada ou ausente dentro da função `maybe duplicate`. Um atacante não autenticado pode explorar essa falha para duplicar e publicar grupos de campos de produto, incluindo aqueles em estado de rascunho ou pendente, ao induzir um administrador do site a realizar uma ação, como clicar em um link malicioso. **Recomendações** Atualize o plugin Advanced Product Fields (Product Addons) for WooCommerce para a versão 1.6.18 ou posterior.