Nvthien

**Nome do Software Vulnerável e Versões Afetadas** Plugin MIPL WC Multisite Sync para WordPress, versões até e incluindo a 1.1.5 **Descrição** O problema permite que atacantes não autenticados leiam o conteúdo de arquivos arbitrários no servidor, que podem conter informações sensíveis, através da ação `mipl wc sync download log`. Isso possibilita o acesso a dados confidenciais. **Recomendações** Para versões até e incluindo a 1.1.5, atualize para uma versão posterior à 1.1.5 para resolver o problema. Como solução alternativa temporária, considere desativar a ação `mipl wc sync download log` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin Ebook Store para o WordPress até a versão 5.8001, inclusive **Descrição** O problema está relacionado a Cross-Site Scripting refletido (XSS) por meio do parâmetro `step`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 5.8001, considere desativar o parâmetro `step` no endpoint da API afetado até que um patch esteja disponível. Restrinja o acesso ao plugin vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `step` nas páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Feedpress Generator – plugin de personalização de interface RSS externa para o WordPress, versões até a 1.2.1, inclusive **Descrição** A vulnerabilidade está relacionada a Cross-Site Scripting refletido (XSS) por meio do parâmetro `tab`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, os quais serão executados caso consigam induzir um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.2.1, inclusive, considere desativar o parâmetro `tab` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de ataques de Cross-Site Scripting refletido. Evite usar o parâmetro `tab` em páginas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.