Numex

**Nome do Software Vulnerável e Versões Afetadas** Yoast SEO versões anteriores a 26.6 **Description** Um problema de Referência Direta a Objeto Insegura existe devido a verificações de autorização insuficientes no endpoint da API REST Meta Search. Esta falha não verifica a propriedade da postagem, permitindo que atacantes autenticados com nível de acesso de Colaborador ou superior leiam metadados de SEO sensíveis de qualquer postagem no site, incluindo postagens privadas, rascunhos e postagens de outros usuários, através da manipulação do parâmetro `post id`. **Recommendations** Atualize para uma versão posterior a 26.5. Restrinja o acesso ao endpoint da API REST Meta Search para minimizar o risco de acesso não autorizado a metadados.

**Name of the Vulnerable Software and Affected Versions** Syarif Mobile App Editor versions n/a through 1.3.1 **Description** The software is susceptible to an unrestricted file upload issue that permits the uploading of a web shell to a web server. This allows attackers to potentially achieve remote code execution. The issue stems from a lack of validation during the file upload process. **Recommendations** Versions prior to 1.3.1 should be updated.

**Name of the Vulnerable Software and Affected Versions** WBW Currency Switcher for WooCommerce versions through 2.2.5 **Description** An authorization issue exists in WBW Currency Switcher for WooCommerce. The issue involves incorrectly configured access control security levels, potentially allowing unauthorized access. **Recommendations** Update WBW Currency Switcher for WooCommerce to a version later than 2.2.5.

**Name of the Vulnerable Software and Affected Versions** Shahjada Download Manager Addons for Elementor versions through 1.3.0 **Description** The software contains a flaw due to improper neutralization of special elements within SQL commands, leading to a Blind SQL Injection condition. The vulnerability exists in Download Manager Addons for Elementor wpdm-elementor. Exploitation of this issue could allow an attacker to potentially manipulate database queries. **Recommendations** Update to a version later than 1.3.0.

**Name of the Vulnerable Software and Affected Versions** Authorsy versions through 1.0.6 **Description** An authorization bypass exists in Authorsy due to incorrectly configured access control security levels. This allows exploitation through a user-controlled key. **Recommendations** Update Authorsy to a version later than 1.0.6.

**Name of the Vulnerable Software and Affected Versions** Aruba HiSpeed Cache versions through 3.0.4 **Description** An authorization issue exists in Aruba HiSpeed Cache, allowing exploitation of incorrectly configured access control security levels. **Recommendations** Update Aruba HiSpeed Cache to a version later than 3.0.4.

**Name of the Vulnerable Software and Affected Versions** Owl Carousel WP versions through 2.2.2 **Description** The software contains a flaw due to improper neutralization of input during web page generation, which allows for Stored Cross-site Scripting (XSS). This means that malicious scripts can be injected into web pages and executed by unsuspecting users. The affected component is susceptible to exploitation through crafted input. **Recommendations** Update Owl Carousel WP to a version later than 2.2.2.

Nome do Software Vulnerável e Versões Afetadas Plugin Yoco Payments para WordPress versões até 3.8.8 Descrição O plugin Yoco Payments para WordPress é suscetível a uma vulnerabilidade de Travessia de Caminho. Isso permite que atacantes não autenticados leiam arquivos arbitrários no servidor, potencialmente expondo informações sensíveis. O problema ocorre por meio do parâmetro `file`. Recomendações Atualize o plugin Yoco Payments para uma versão mais recente que 3.8.8.

**Nome do Software Vulnerável e Versões Afetadas** Recorp AI Content Writing Assistant (Content Writer, ChatGPT, Image Generator) All in One versões até a 1.1.7 **Descrição** O software Recorp AI Content Writing Assistant (Content Writer, ChatGPT, Image Generator) All in One contém uma falha de autorização devido a níveis de segurança de controle de acesso configurados incorretamente. Isso permite a exploração do sistema. **Recomendações** Atualize para uma versão posterior à 1.1.7.

**Nome do Software Vulnerável e Versões Afetadas** CedCommerce WP Advanced PDF versões até a 1.1.7 **Descrição** Existe uma falha de autorização no CedCommerce WP Advanced PDF, permitindo exploração devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o CedCommerce WP Advanced PDF para uma versão posterior à 1.1.7.

**Name of the Vulnerable Software and Affected Versions** Youzify versions through 1.3.5 **Description** The software contains a Server-Side Request Forgery (SSRF) flaw. This allows for Server Side Request Forgery. **Recommendations** Update Youzify to a version later than 1.3.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Bit Assist até 1.5.11 **Descrição** Existe um problema de autorização no Bit Apps Bit Assist. O problema envolve níveis de segurança de controle de acesso configurados incorretamente, potencialmente permitindo acesso não autorizado. **Recomendações** Atualize o Bit Assist para uma versão posterior à 1.5.11.

**Nome do Software Vulnerável e Versões Afetadas** Trustindex Widgets for Social Photo Feed versões até a 1.7.7 **Descrição** Existe um problema de autorização no Trustindex Widgets for Social Photo Feed. O problema envolve níveis de segurança de controle de acesso configurados incorretamente, potencialmente permitindo acesso não autorizado. **Recomendações** Atualize o Trustindex Widgets for Social Photo Feed para uma versão posterior à 1.7.7.

**Nome do Software Vulnerável e Versões Afetadas** bdthemes Prime Slider – Addons For Elementor versões até a 4.0.10 **Descrição** Existe uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) no bdthemes Prime Slider – Addons For Elementor. Isso permite a Falsificação de Solicitação do Lado do Servidor. O problema está presente no bdthemes-prime-slider-lite. **Recomendações** Atualize o bdthemes Prime Slider – Addons For Elementor para uma versão posterior à 4.0.10.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Hippoo Mobile App for WooCommerce para WordPress, versões até e incluindo 1.7.1 **Descrição** O software está suscetível à gravação não autorizada de arquivos devido a uma verificação de autorização ausente. O endpoint da API REST `/wp-json/hippoo/v1/wc/token/save callback/{token id}` é registrado com `permission callback => ' return true'`, o que permite acesso não autenticado. Isso permite que atacantes gravem conteúdo JSON arbitrário no diretório de upload publicamente acessível do servidor através do endpoint vulnerável. O `token id` é uma variável dentro do endpoint da API. **Recomendações** Atualize o plugin Hippoo Mobile App for WooCommerce para WordPress para uma versão superior à 1.7.1.

**Nome do Software Vulnerável e Versões Afetadas** Plugin wModes – Catalog Mode, Product Pricing, Enquiry Forms & Promotions para WordPress, versões até e incluindo a 1.2.2 **Descrição** O plugin não verifica adequadamente a autorização do usuário ao acessar informações sensíveis por meio de um endpoint AJAX. Isso permite que invasores autenticados com acesso de nível de assinante ou superior extraiam dados sensíveis. Esses dados incluem e-mails de usuários, nomes de usuário, funções, capacidades e dados do WooCommerce, como produtos e métodos de pagamento. O endpoint vulnerável permite acesso não autorizado a essas informações. **Recomendações** Atualize o plugin wModes – Catalog Mode, Product Pricing, Enquiry Forms & Promotions para WordPress para uma versão superior à 1.2.2.

**Nome do Software Vulnerável e Versões Afetadas** Document Embedder – Plugin para incorporar PDFs, Word, Excel e outros arquivos para WordPress, versões até e incluindo a 2.0.0 **Descrição** O plugin Document Embedder para WordPress está suscetível a acesso não autorizado, modificação e potencial perda de dados. Isso é causado por verificações de autorização insuficientes dentro das funções `bplde save document library`, `bplde get all`, `bplde get single` e `bplde delete document library`. Isso permite que atacantes não autenticados criem, leiam, atualizem e excluam posts `document library` arbitrários. **Recomendações** Versões até e incluindo a 2.0.0 devem ser atualizadas para uma versão mais recente e corrigida, se disponível. Como solução temporária, considere restringir o acesso às funções vulneráveis `bplde save document library`, `bplde get all`, `bplde get single` e `bplde delete document library` até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Jordy Meow Gallery Custom Links versões até a 2.2.5 **Descrição** O software contém uma falha devido ao tratamento inadequado de entrada durante a criação de páginas web, resultando em uma vulnerabilidade de Cross-site Scripting (XSS). Este caso específico permite XSS Armazenado, o que significa que scripts maliciosos podem ser armazenados e executados por outros usuários. O problema afeta o Gallery Custom Links. **Recomendações** Atualize o Jordy Meow Gallery Custom Links para uma versão superior à 2.2.5.