Nudien Udin

**Nome do Software Vulnerável e Versões Afetadas** AudioIgniter versões anteriores a 2.0.3 **Descrição** O plugin AudioIgniter para WordPress contém um problema de Referência Direta Insegura a Objeto (IDOR). Isso ocorre porque a função `handle playlist endpoint()` (conectada ao template redirect) aceita um ID de playlist controlado pelo usuário por meio da variável de consulta `audioigniter playlist id` ou do endpoint '/audioigniter/playlist/{id}/' e retorna dados de faixas sem verificar a autenticação, permissões ou o status da postagem, validando apenas o tipo de postagem. Isso permite que invasores não autenticados acessem metadados de faixas, incluindo títulos, artistas, URLs de áudio, links de compra, URLs de download e imagens de capa, de qualquer playlist, inclusive aquelas marcadas como rascunho, privada, pendente ou lixo. **Recomendações** Atualize para uma versão posterior à 2.0.2.

The Forms Rb plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.1.9. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with contributor-level access and above, to read form submission records, modify form configuration options, and delete records belonging to any form they do not own.