Nick Blundell

**Nome do software vulnerável e versões afetadas: Plugin food-and-drink-menu até a versão 2.2.0 para WordPress Descrição: A vulnerabilidade permite que invasores remotos executem código arbitrário devido a uma operação de deserialização no cookie `fdm cart` na função `load cart from cookie`, localizada no arquivo `includes/class-cart-manager.php`. Recomendações: Para versões até a 2.2.0, considere desativar a função `load cart from cookie` em `includes/class-cart-manager.php` para impedir a exploração até que um patch esteja disponível. Restrinja o acesso ao cookie `fdm cart` para minimizar o risco de execução de código arbitrário.

**Nome do software vulnerável e versões afetadas: Plugin wp-hotel-booking, versões 1.10.2 e anteriores Descrição: A vulnerabilidade permite que invasores remotos executem código arbitrário devido a uma operação de deserialização no cookie `thimpress hotel booking 1` no arquivo `includes/class-wphb-sessions.php`. Essa operação pode ser explorada para obter acesso não autorizado e executar código malicioso. Recomendações: Para as versões 1.10.2 e anteriores, atualize para uma versão posterior à 1.10.2 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `includes/class-wphb-sessions.php` ou desativar o uso do cookie `thimpress hotel booking 1` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Form Manager plugin versions prior to 1.7.3 **Description** The issue concerns an eval injection vulnerability in the `fm saveHelperGatherItems` function within the `ajax.php` file of the Form Manager plugin for WordPress. This allows remote attackers to execute arbitrary code via unspecified vectors. **Recommendations** For versions prior to 1.7.3, update to version 1.7.3 or later to resolve the issue. As a temporary workaround, consider disabling the `fm saveHelperGatherItems` function in `ajax.php` until a patch is applied. Restrict access to the `ajax.php` file to minimize the risk of exploitation.