Niraj Mahajan

**Nome do Software Vulnerável e Versões Afetadas** GetPaid Plugin versão 2.4.6 **Descrição** Um problema de injeção de HTML permite que atacantes autenticados injetem código HTML arbitrário, incluindo tags de imagem e scripts, explorando o campo Help Text em formulários de pagamento. O código injetado é armazenado no banco de dados e executado no navegador quando o formulário é visualizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dynamics 365 Customer Insights (versões afetadas não especificadas) **Descrição** O problema está relacionado à falha na proteção adequada da estrutura da página da web no Microsoft Dynamics 365 Customer Insights, permitindo que um invasor remoto realize ataques de falsificação de identidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.13.4 do plugin “Login using WordPress Users” (WP como SAML IDP) **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting quando a funcionalidade `unfiltered html` está desativada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 1.13.4, atualize para a versão 1.13.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da capacidade unfiltered html para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 4.2.1 do plugin WordPress Security Firewall, Malware Scanner, Secure Login and Backup **Descrição** A vulnerabilidade permite que usuários mal-intencionados com privilégios de administrador armazenem código JavaScript malicioso, levando a ataques de Cross-Site Scripting quando o `unfiltered html` está desativado, como em uma configuração multisite. Isso ocorre devido à falha do plugin em sanitizar e escapar corretamente algumas de suas configurações. **Recomendações** Para versões anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir os privilégios de administrador apenas a usuários confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Limit Login Attempts para WordPress anteriores à 4.0.72 **Descrição** A vulnerabilidade permite que usuários mal-intencionados com privilégios de administrador armazenem código JavaScript malicioso, levando a ataques de Cross-Site Scripting quando a opção `unfiltered html` está desativada, como em uma configuração multisite. **Recomendações** Para versões anteriores à 4.0.72, atualize para a versão 4.0.72 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Google Authenticator para WordPress anteriores à 1.0.5 **Descrição** A vulnerabilidade permite que invasores realizem ataques de Cross-Site Scripting (XSS) ao fazer com que um administrador conectado altere configurações sem as devidas verificações CSRF, sanitização de entradas e escapamento. **Recomendações** Para versões do plugin Google Authenticator para WordPress anteriores à 1.0.5, atualize para a versão 1.0.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.5.6 do plugin Google Authenticator para WordPress da miniOrange **Descrição** A vulnerabilidade permite que usuários mal-intencionados com privilégios de administrador armazenem código JavaScript malicioso, levando a ataques de Cross-Site Scripting quando o `unfiltered html` está desativado, como em uma configuração multisite. **Recomendações** Para versões anteriores à 5.5.6, atualize para a versão 5.5.6 ou posterior para resolver o problema. Como solução temporária, considere restringir os privilégios de administrador e garantir a validação e sanitização adequadas de todas as entradas nas configurações do plugin.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 1.0.8 do plugin para WordPress “Login With OTP Over SMS, Email, WhatsApp and Google Authenticator” **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting, mesmo quando o `unfiltered html` está desativado, devido ao plugin não aplicar escape nas suas configurações. **Recomendações** Para versões anteriores à 1.0.8, atualize para a versão 1.0.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Malware Scanner para WordPress anteriores à 4.5.2 **Descrição** A vulnerabilidade permite que usuários mal-intencionados com privilégios de administrador armazenem código JavaScript malicioso, levando a ataques de Cross-Site Scripting quando a opção `unfiltered html` está desativada, como em configurações multisite. **Recomendações** Para versões anteriores à 4.5.2, atualize para a versão 4.5.2 ou posterior para resolver o problema. Como solução temporária, considere restringir os privilégios de administrador e monitorar as configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin User Meta para WordPress anteriores à 2.4.3 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento do nome do formulário e dos rótulos dos campos compartilhados no painel de administração ao editar um formulário. Isso pode ser explorado mesmo quando a opção `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de administração para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Social Buttons para WordPress até a 2.1 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de cross-site scripting devido à falta de sanitização e escapamento das configurações. Isso pode ocorrer mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para as versões do plugin WP Social Buttons para WordPress até a 2.1, considere atualizar para uma versão que resolva a sanitização e o escape das configurações para evitar ataques de cross-site scripting. Como solução temporária, restrinja o acesso administrativo apenas a usuários confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do plugin Page Restriction para WordPress anteriores à 1.2.7 **Descrição** A vulnerabilidade permite que agentes mal-intencionados com privilégios de administrador na página de configurações injetem código JavaScript nas configurações, levando a um ataque de Cross-Site Scripting armazenado que afetará apenas usuários administradores. **Recomendações** Para versões anteriores à 1.2.7, atualize para a versão 1.2.7 ou posterior para resolver o problema.