Nicky Dev

**Nome do Software Vulnerável e Versões Afetadas** Blog2Social: Social Media Auto Post & Scheduler versões anteriores a 8.9.1 **Descrição** O plugin é afetado por falta de autorização devido à ausência de verificação de propriedade nas funções `deleteUserPublishPost()` e `deleteUserSchedPost()`. Essas funções não incluem uma restrição `blog user id` em suas consultas ao banco de dados, o que permite que atacantes autenticados excluam logicamente (soft-delete) registros de postagens de qualquer usuário ao fornecer valores sequenciais arbitrários de `wp b2s posts.id` através do parâmetro `postId`. Isso pode levar à exclusão de postagens de mídias sociais publicadas e agendadas de outros usuários, interrompendo os fluxos de trabalho de publicação de conteúdo. **Recomendações** Atualize para uma versão posterior a 8.9.0. Como medida paliativa temporária, restrinja o acesso às funções `deleteUserPublishPost()` e `deleteUserSchedPost()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Amelia versões anteriores a 2.1.3 **Descrição** Uma falha de curto-circuito lógico na lógica de autorização permite que a validação do token seja ignorada quando uma reserva possui o status 'waiting'. Isso permite que atacantes não autenticados aprovem qualquer reserva no status 'waiting' enviando uma solicitação manipulada para o endpoint 'admin-ajax'. **Recomendações** Atualize para uma versão posterior a 2.1.2.