Nhật Nam

**Nome do software vulnerável e versões afetadas** Versões do plugin Slide Anything para WordPress anteriores à 2.3.47 **Descrição** O problema decorre da sanitização ou escapamento inadequados do título do slide antes de ele ser exibido nas páginas de administração. Isso permite que um usuário conectado, mesmo com funções tão básicas quanto a de Autor, insira um código JavaScript malicioso no título do slide, mesmo quando a funcionalidade `unfiltered html` estiver desativada. **Recomendações** Para versões anteriores à 2.3.47, atualize para a versão 2.3.47 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de editar títulos de slides a funções de nível superior até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Team WordPress anteriores à 4.1.2 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado baixe arquivos arbitrários do servidor por meio de um vetor de traversal de caminho. Além disso, o arquivo também será excluído após seu conteúdo ser retornado ao usuário. **Recomendações** Para versões anteriores à 4.1.2, atualize para a versão 4.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo vulnerável para minimizar o risco de exploração.