Norbert Hofmann

Nome do Software Vulnerável e Versões Afetadas: Versões do GamiPress anteriores à 1.0.1 Descrição: O problema refere-se à falta de verificação de CSRF ao atualizar as configurações, o que poderia permitir que atacantes façam um administrador logado alterá-las por meio de um ataque CSRF. Isso poderia potencialmente permitir que atacantes modifiquem a configuração do plugin. Recomendações: Para versões anteriores à 1.0.1, atualize para a versão 1.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de atualização de configurações para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Plugin WP MultiTasking para WordPress versões 0.1.12 e anteriores Descrição: O plugin WP MultiTasking para WordPress não possui uma verificação de CSRF ao atualizar suas configurações de sufixo de permalink, o que poderia permitir que invasores façam com que administradores logados executem tais ações por meio de um ataque CSRF. Recomendações: Para as versões 0.1.12 e anteriores do plugin WP MultiTasking para WordPress, considere desativar o plugin até que uma correção esteja disponível para prevenir a exploração. Como solução temporária, restrinja o acesso às configurações de sufixo de permalink para minimizar o risco de exploração. Evite usar a funcionalidade de atualização de configurações do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plugin WP MultiTasking para WordPress versões 0.1.12 e anteriores Descrição: O problema refere-se à falta de verificação de CSRF ao atualizar as Configurações de Script de Cabeçalho, Rodapé e Corpo. Isso poderia permitir que atacantes fizessem administradores logados executar tais ações por meio de um ataque CSRF. Recomendações: Para as versões 0.1.12 e anteriores do plugin WP MultiTasking para WordPress, considere desativar a funcionalidade de atualização das Configurações de Script de Cabeçalho, Rodapé e Corpo até que uma correção esteja disponível. Restrinja o acesso a essas configurações para minimizar o risco de exploração. Evite usar o recurso de atualização de configurações do plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin adstxt para WordPress, versão 1.0.0 **Descrição** O problema está relacionado à ausência de uma verificação CSRF ao atualizar as configurações no plugin adstxt para WordPress. Isso poderia permitir que invasores fizessem com que um administrador conectado alterasse as configurações por meio de um ataque CSRF. **Recomendações** Para a versão 1.0.0, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível para evitar possíveis ataques CSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WP MultiTasking para WordPress, versões 0.1.12 e anteriores **Descrição** O problema está relacionado à falta de proteção contra CSRF ao atualizar as configurações no plugin WP MultiTasking para WordPress. Isso poderia permitir que invasores fizessem com que um administrador conectado alterasse as configurações por meio de um ataque CSRF. **Recomendações** Para as versões 0.1.12 e anteriores do plugin WP MultiTasking para WordPress, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível para prevenir possíveis ataques CSRF. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WP MultiTasking para WordPress, versões 0.1.12 e anteriores **Descrição** O problema está relacionado à ausência de uma verificação CSRF ao atualizar as configurações no plugin WP MultiTasking para WordPress. Isso poderia permitir que invasores fizessem com que um administrador conectado alterasse as configurações por meio de um ataque CSRF. **Recomendações** Para as versões 0.1.12 e anteriores, como solução temporária, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WP MultiTasking para WordPress, versões 0.1.12 e anteriores **Descrição** O problema está relacionado à ausência de verificação CSRF ao atualizar pop-ups de boas-vindas, o que poderia permitir que invasores fizessem com que administradores conectados realizassem tais ações por meio de um ataque CSRF. **Recomendações** Para as versões 0.1.12 e anteriores do plugin WP MultiTasking para WordPress, atualize para uma versão que inclua uma verificação CSRF para atualizações de pop-ups de boas-vindas. Como solução temporária, considere restringir o acesso à funcionalidade de atualização do pop-up de boas-vindas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin WP MultiTasking para WordPress, versões 0.1.12 e anteriores **Descrição** O problema está relacionado à ausência de verificação CSRF ao atualizar pop-ups de saída, o que poderia permitir que invasores fizessem com que administradores conectados realizassem tais ações por meio de um ataque CSRF. Isso poderia permitir que invasores realizassem ações não autorizadas. **Recomendações** Para as versões 0.1.12 e anteriores do plugin WP MultiTasking para WordPress, atualize para uma versão que inclua uma verificação CSRF para atualizações de pop-ups de saída, a fim de evitar a exploração. Como solução temporária, considere restringir o acesso à funcionalidade de atualização de pop-ups de saída para minimizar o risco de ações não autorizadas.

**Nome do software vulnerável e versões afetadas** Plugin de organogramas para o WordPress até a versão 1.5.0, inclusive **Descrição** A vulnerabilidade decorre de uma sanitização insuficiente de entradas e de uma escapagem insuficiente de saídas, permitindo que invasores autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários nas páginas por meio dos parâmetros `title input` e `node description`. Isso permite a execução de scripts injetados sempre que um usuário acessa uma página afetada. Por padrão, a exploração é limitada aos administradores, mas os assinantes também podem explorar essa vulnerabilidade se tiverem permissão para usar e configurar organogramas. **Recomendações** Para versões até a 1.5.0, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída para evitar a exploração. Como solução temporária, considere restringir o acesso aos parâmetros `title input` e `node description` para minimizar o risco de injeção de scripts web arbitrários. Além disso, limitar a capacidade de usar e configurar gráficos apenas aos administradores pode ajudar a reduzir a superfície de ataque até que uma correção seja aplicada.

Nome do software vulnerável e versões afetadas: Plugin ContentLock para WordPress, versões 1.0.0 a 1.0.3 Descrição: O problema está relacionado à ausência de uma verificação CSRF durante a atualização das configurações, o que poderia permitir que invasores fizessem com que um administrador conectado as alterasse por meio de um ataque CSRF. Recomendações: Para as versões 1.0.0 a 1.0.3 do plugin ContentLock para WordPress, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível. Restrinja o acesso ao módulo de atualização de configurações para minimizar o risco de exploração. Evite usar o recurso de atualização de configurações do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin ContentLock para WordPress, versões 1.0.0 a 1.0.3 Descrição: O problema diz respeito à ausência de verificação CSRF ao adicionar e-mails, o que poderia permitir que invasores fizessem com que um administrador conectado realizasse tal ação por meio de um ataque CSRF. Recomendações: Para as versões 1.0.0 a 1.0.3 do plugin ContentLock para WordPress, considere desativar o recurso de adição de e-mails até que uma correção esteja disponível para evitar possíveis ataques CSRF.