Nicolai Hellesnes

**Name of the Vulnerable Software and Affected Versions** WP to LinkedIn Auto Publish plugin for WordPress versions up to and including 1.9.8 **Description** The WP to LinkedIn Auto Publish plugin for WordPress is susceptible to Reflected Cross-Site Scripting via PostMessage. This is due to inadequate input sanitization and output escaping. An unauthenticated attacker could inject arbitrary web scripts into pages, which would execute if a user is tricked into performing an action, such as clicking a link. **Recommendations** Update the WP to LinkedIn Auto Publish plugin to a version later than 1.9.8.

**Nome do Software Vulnerável e Versões Afetadas** O plugin The Social Media Auto Publish para WordPress, versões até e incluindo a 3.6.5 **Descrição** O software é suscetível a Cross-Site Scripting Refletido através do parâmetro `PostMessage` devido à sanitização de entrada e escape de saída inadequados. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas. A exploração bem-sucedida requer enganar um usuário para realizar uma ação, como clicar em um link, para executar os scripts injetados. **Recomendações** Atualize o plugin The Social Media Auto Publish para uma versão posterior à 3.6.5.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Link Whisper Free para WordPress, versões até e incluindo a 0.8.8 **Descrição** O plugin Link Whisper Free para WordPress é suscetível a Cross-Site Scripting Refletido devido à sanitização de entrada e escape de saída inadequados. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas. A exploração bem-sucedida requer induzir um usuário a realizar uma ação, como clicar em um link. A vulnerabilidade afeta o parâmetro `type`. **Recomendações** Atualize o plugin Link Whisper Free para uma versão superior à 0.8.8.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP Twitter Auto Publish anteriores à 1.7.4 **Descrição** O plugin WP Twitter Auto Publish para WordPress é vulnerável a Cross-Site Scripting Refletido via PostMessage. Isso se deve à sanitização de entrada e escape de saída insuficientes. Um atacante não autenticado poderia injetar scripts web arbitrários nas páginas, que seriam executados se um usuário fosse induzido a realizar uma ação, como clicar em um link. **Recomendações** Atualize o plugin WP Twitter Auto Publish para a versão 1.7.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plugin ArtiBot Free Chat Bot for WebSites para WordPress versões até a 1.1.7 **Descrição** O software é suscetível a Cross-Site Scripting (XSS) Refletido via PostMessage devido à sanitização de entrada e escape de saída inadequados. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas. A exploração bem-sucedida requer induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Atualize para uma versão posterior à 1.1.7.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP2Social Auto Publish até a 2.4.7 **Descrição** O plugin WP2Social Auto Publish para WordPress está suscetível a Cross-Site Scripting (XSS) Refletido via PostMessage devido à sanitização de entrada e escape de saída inadequados. Isso permite que atacantes não autenticados injetem scripts web arbitrários nas páginas. A exploração bem-sucedida requer enganar um usuário para realizar uma ação, como clicar em um link. **Recomendações** Atualize o WP2Social Auto Publish para uma versão posterior à 2.4.7.

**Name of the Vulnerable Software and Affected Versions** FunnelCockpit plugin for WordPress versions up to and including 1.4.2 **Description** The plugin is susceptible to Reflected Cross-Site Scripting via the `error` parameter due to insufficient input sanitization and output escaping. This allows unauthenticated attackers to inject arbitrary web scripts into pages that will execute if an administrative user is tricked into performing an action, such as clicking a link. **Recommendations** Update the FunnelCockpit plugin to a version later than 1.4.2.

**Nome do Software Vulnerável e Versões Afetadas** Plugin EUCookieLaw para WordPress versões até e incluindo a 2.7.2 **Descrição** Esta falha permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, potencialmente contendo informações sensíveis, por meio da função `file get contents`. Isso pode ser explorado se um plugin de cache, como o W3 Total Cache, estiver instalado e ativado. **Recomendações** Para o plugin EUCookieLaw para WordPress versões até e incluindo a 2.7.2, considere desativar o plugin até que um patch esteja disponível para prevenir a exploração. Além disso, restrinja o acesso a arquivos sensíveis no servidor para minimizar o risco de divulgação de informações. Como medida temporária, considere desativar plugins de cache como o W3 Total Cache para reduzir o impacto da vulnerabilidade.