P3N7A90N

**Name of the Vulnerable Software and Affected Versions** Elementor Website Builder WordPress plugin versions prior to 3.12.2 **Description** The issue arises from improper sanitization and escaping of the `Replace URL` parameter in the Tools module, which is used in a SQL statement. This leads to a SQL injection that can be exploited by users with the Administrator role. **Recommendations** For versions prior to 3.12.2, update to version 3.12.2 or later to resolve the issue. As a temporary workaround, consider restricting access to the Tools module for users with the Administrator role until the update is applied.

**Name of the Vulnerable Software and Affected Versions** AnyWhere Elementor WordPress plugin versions prior to 1.2.8 **Description** The issue allows an attacker to obtain a Freemius Secret Key, which could be used to purchase the pro subscription using test credit card numbers without actually paying the amount. The key in question has been revoked. **Recommendations** For versions prior to 1.2.8, update to version 1.2.8 or later to resolve the issue. As a temporary workaround, consider restricting access to the plugin's subscription functionality until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 6.5.8 do plugin “Import all XML, CSV & TXT” do WordPress **Descrição** O problema está relacionado à sanitização e ao escape inadequados dos dados importados, que são posteriormente utilizados em instruções SQL. Isso leva à injeção de SQL, um tipo de ataque em que um invasor pode executar código SQL malicioso. A exploração dessa vulnerabilidade é possível por usuários com privilégios elevados, como administradores. **Recomendações** Para versões anteriores à 6.5.8, atualize para a versão 6.5.8 ou posterior para resolver o problema. Como solução temporária, considere restringir a funcionalidade de importação para minimizar o risco de exploração. Evite usar o recurso de importação com dados não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Todas as versões do plugin “Import all XML, CSV & TXT” para WordPress anteriores à 6.5.8 **Descrição** O problema diz respeito à falta de autorização em determinadas áreas do plugin, o que pode permitir que qualquer usuário autenticado acesse recursos específicos caso obtenha o nonce relacionado. **Recomendações** Para versões anteriores à 6.5.8, atualize para a versão 6.5.8 ou posterior para resolver o problema.