Nguyen Ngoc Quang Bach

**Name of the Vulnerable Software and Affected Versions** Jenkins LoadNinja Plugin versions 2.1 and earlier **Description** The Jenkins LoadNinja Plugin does not properly mask LoadNinja API keys as they are displayed on the job configuration form. This could allow attackers to observe and capture these keys. **Recommendations** Update to a newer version of the Jenkins LoadNinja Plugin that addresses this issue.

**Name of the Vulnerable Software and Affected Versions** Jenkins versions 2.554 and earlier Jenkins LTS versions 2.541.2 and earlier **Description** The software does not safely handle symbolic links when extracting .tar and .tar.gz archives. This allows crafted archives to write files to arbitrary locations on the filesystem, limited by the file system access permissions of the user running Jenkins. An attacker with Item/Configure permission, or control over agent processes, can exploit this to deploy malicious scripts or plugins on the controller. **Recommendations** Update Jenkins to a version later than 2.554. Update Jenkins LTS to a version later than 2.541.2.

**Nome do Software Vulnerável e Versões Afetadas** UsersWP – Plugin de formulário de login front-end, registro de usuário, perfil de usuário e diretório de membros para WordPress, versões até a 1.2.44 **Descrição** O plugin UsersWP para WordPress está suscetível a uma vulnerabilidade de Injeção de SQL baseada em tempo devido ao escapamento insuficiente de parâmetros fornecidos pelo usuário e à preparação inadequada das consultas SQL existentes. Isso permite que atacantes não autenticados anexem consultas SQL adicionais, potencialmente extraindo informações sensíveis do banco de dados através da função `upload file remove` e do parâmetro `htmlvar`. **Recomendações** Atualize para a versão 1.2.45.

Nome do Software Vulnerável e Versões Afetadas: Arraytics Eventin versões n/a até 4.0.31 Descrição: A desserialização de dados não confiáveis no Arraytics Eventin permite a injeção de objetos. Este problema impacta a aplicação ao permitir a injeção de objetos por meio de processos de desserialização. Recomendações: Atualize o Arraytics Eventin para uma versão posterior à 4.0.31.

Nome do Software Vulnerável e Versões Afetadas: VonStroheim TheBooking versões n/a até 1.4.4 Descrição: O software TheBooking contém uma falha de falta de autorização que permite acesso à funcionalidade não devidamente restrita por Listas de Controle de Acesso (ACLs). Recomendações: Atualize o VonStroheim TheBooking para uma versão posterior a 1.4.4.

Name of the Vulnerable Software and Affected Versions: moshensky CF7 Spreadsheets versions through 2.3.2 Description: The vulnerability involves improper neutralization of input during web page generation, leading to a stored cross-site scripting (XSS) issue in moshensky CF7 Spreadsheets. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce versões anteriores à 3.1.50 **Descrição** O plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress é suscetível a Cross-Site Scripting Armazenado através do parâmetro `organizer name`. A sanitização de entrada e o escape de saída insuficientes permitem que atacantes não autenticados injetem scripts web arbitrários nas páginas. Esses scripts serão executados quando um usuário acessar uma página injetada. **Recomendações** Atualize o WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para a versão 3.1.50 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce versões até e incluindo a 3.1.49 **Descrição** O plugin WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para WordPress contém uma vulnerabilidade de Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página injetada. Isso afeta apenas instalações multisite e instalações onde o unfiltered html foi desabilitado. **Recomendações** Atualize o WP Event Manager – Events Calendar, Registrations, Sell Tickets with WooCommerce para uma versão superior à 3.1.49.

Nome do Software Vulnerável e Versões Afetadas: Versões do Arraytics Eventin até a 4.0.28 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting, que permite XSS Refletido. Recomendações: Para versões até a 4.0.28, atualize para uma versão posterior à 4.0.28 para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: aharonyan WP Front User Submit / Front Editor versões até a 4.9.3 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting. Isso permite XSS Refletido no aharonyan WP Front User Submit / Front Editor. Recomendações: Para versões até a 4.9.3, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: EC Stars Rating versões 1.0.0 a 1.0.11 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting, permitindo XSS Armazenado. Isso permite que atacantes injetem scripts maliciosos em páginas web. Recomendações: Para as versões 1.0.0 a 1.0.11, atualize para uma versão que corrige o problema de XSS Armazenado para prevenir a exploração.

Nome do Software Vulnerável e Versões Afetadas: gioni Plugin Inspector versões n/a até 1.5 Descrição: O problema está relacionado a uma Limitação Imprópria de um Nome de Caminho para um Diretório Restrito, também conhecido como 'Path Traversal'. Isso permite Path Traversal no gioni Plugin Inspector. Recomendações: Para as versões n/a até 1.5, considere restringir o acesso a diretórios sensíveis para minimizar o risco de exploração até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: douglaskarr Podcast Feed Player Widget and Shortcode versões 2.2.0 e anteriores Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos na página web, potencialmente levando a ações não autorizadas. Recomendações: Para o douglaskarr Podcast Feed Player Widget and Shortcode versões 2.2.0 e anteriores, atualize para uma versão posterior à 2.2.0 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais.

Name of the Vulnerable Software and Affected Versions: Theme Junkie Team Content versions 0.1.1 and earlier Description: The issue is related to improper neutralization of input during web page generation, which allows for DOM-Based XSS attacks. This can potentially lead to malicious scripts being executed on the client-side. Recommendations: For Theme Junkie Team Content versions 0.1.1 and earlier, update to a version that includes a fix for this issue, as no specific workaround is provided for these versions. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Pre-Publish Post Checklist versões 3.1 e anteriores Descrição: O problema está relacionado a uma vulnerabilidade de Ausência de Autorização, que permite explorar níveis de segurança de controle de acesso configurados incorretamente. Recomendações: Para as versões 3.1 e anteriores, atualize para uma versão que contenha uma correção para este problema, pois nenhuma medida de contorno específica é fornecida nas informações disponíveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Dilip kumar Beauty Contact Popup Form versões n/a até 6.0 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, que permite XSS Armazenado no Beauty Contact Popup Form. Recomendações: Para as versões n/a até 6.0, atualize para uma versão que corrija o problema de XSS Armazenado para prevenir a exploração.

Nome do Software Vulnerável e Versões Afetadas: My Resume Builder versões 1.0.3 e anteriores Descrição: A questão está relacionada à neutralização inadequada de entrada durante a geração da página web, o que permite Cross-site Scripting (XSS) Armazenado. Isso significa que um invasor pode injetar scripts maliciosos na aplicação, potencialmente levando a ações não autorizadas em nome de outros usuários. Recomendações: Para as versões 1.0.3 e anteriores do My Resume Builder, atualize para uma versão que corrija a questão do XSS Armazenado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: Hand Talk versions n/a through 6.0 Description: The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, allowing Stored XSS. This enables attackers to inject malicious scripts into the application, potentially affecting user sessions. Recommendations: For Hand Talk versions n/a through 6.0, update to a version later than 6.0 to resolve the issue. As a temporary workaround, consider restricting user input to prevent malicious script injection until a patch is available.

Nome do Software Vulnerável e Versões Afetadas: brijeshk89 IP Based Login versões n/a até 2.4.2 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting, o que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando usuários que acessam a página comprometida. Recomendações: Para as versões n/a até 2.4.2, atualize para uma versão que corrija o problema de XSS Armazenado para prevenir exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: iamapinan PDPA Consent for Thailand versões 1.1.1 e anteriores Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos na página web, potencialmente levando a acesso não autorizado ou roubo de dados. Recomendações: Para as versões 1.1.1 e anteriores, atualize para uma versão que corrija o problema de XSS Armazenado para prevenir a exploração. Como solução alternativa temporária, considere restringir a entrada do usuário para impedir que scripts maliciosos sejam injetados na página web. Evite usar a versão vulnerável do iamapinan PDPA Consent for Thailand até que um patch esteja disponível.