Ptsfence

**Nome do software vulnerável e versões afetadas** Aazztech Post Slider versões 1.6.7 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização. Essa vulnerabilidade afeta o Aazztech Post Slider, permitindo um possível acesso não autorizado. **Recomendações** Para as versões 1.6.7 e anteriores, atualize para uma versão posterior à 1.6.7 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais.

**Name of the Vulnerable Software and Affected Versions** KrishaWeb Add Multiple Marker plugin versions <= 1.2 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For KrishaWeb Add Multiple Marker plugin versions <= 1.2, update to a version higher than 1.2 to resolve the issue. At the moment, there is no information about additional mitigation measures.

**Name of the Vulnerable Software and Affected Versions** Activity Reactions For Buddypress plugin versions <= 1.0.22 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions <= 1.0.22, update to a version higher than 1.0.22 to resolve the issue. At the moment, there is no information about additional mitigation measures for this specific vulnerability.

**Name of the Vulnerable Software and Affected Versions** AFS Analytics plugin versions prior to 4.19 **Description** The issue is a Stored Cross-site Scripting (XSS) vulnerability. This means an attacker can inject malicious scripts into the website, which will be executed by the user's browser. The estimated number of potentially affected devices worldwide is not available. **Recommendations** For versions prior to 4.19, update to version 4.19 or later to resolve the issue. As a temporary workaround, consider restricting access to the AFS Analytics plugin until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Orchestrated Corona Virus (COVID-19) Banner & Live Data plugin versions 1.7.0.6 and earlier **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions 1.7.0.6 and earlier, update to a version later than 1.7.0.6 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** OptinlyHQ Optinly – Exit Intent, Newsletter Popups, Gamification & Opt-in Forms plugin versions 1.0.15 and earlier **Description** The issue is related to Cross-Site Request Forgery (CSRF) in the OptinlyHQ Optinly plugin. CSRF is a type of attack where an attacker tricks a user into performing unintended actions on a web application that the user is authenticated to. No information is provided about the estimated number of potentially affected devices or real-world incidents where this issue was exploited. **Recommendations** For OptinlyHQ Optinly – Exit Intent, Newsletter Popups, Gamification & Opt-in Forms plugin versions 1.0.15 and earlier, update to a version later than 1.0.15 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SeoSamba for WordPress Webmasters plugin versions 1.0.5 and earlier **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions 1.0.5 and earlier, update to a version later than 1.0.5 to resolve the issue. At the moment, there is no information about additional mitigation measures.

**Name of the Vulnerable Software and Affected Versions** AA-Team WZone – Lite Version plugin version 3.1 Lite **Description** The issue is a Cross-Site Request Forgery (CSRF) vulnerability. This means an attacker can trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For AA-Team WZone – Lite Version plugin version 3.1 Lite, update to a version that fixes this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** 3com - Asesor de Cookies para normativa española plugin versions <= 3.4.3 **Description** The issue is related to an Authenticated Stored Cross-Site Scripting (XSS) vulnerability. This means that an attacker with admin privileges can inject malicious scripts into the application, which can then be executed by other users. **Recommendations** For 3com - Asesor de Cookies para normativa española plugin versions <= 3.4.3, update to a version higher than 3.4.3 to resolve the issue. At the moment, there is no information about other specific mitigation measures for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do plugin 2kb Amazon Affiliates Store <=2.1.5 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) refletido. Isso significa que um invasor pode injetar scripts maliciosos em um site, potencialmente roubando dados do usuário ou assumindo o controle da sessão do usuário. **Recomendações** Para as versões do plugin 2kb Amazon Affiliates Store <=2.1.5, atualize para uma versão superior a 2.1.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin de acessibilidade anteriores à 1.0.4 **Descrição** O problema está relacionado a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) que requer autenticação com privilégios de administrador ou superiores. **Recomendações** Para versões anteriores à 1.0.4, atualize para a versão 1.0.4 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Zoho CRM Lead Magnet, versões <= 1.7.5.8 **Descrição** A vulnerabilidade permite que usuários autenticados com privilégios de assinante ou superiores atualizem opções arbitrárias. **Recomendações** Para as versões do plugin Zoho CRM Lead Magnet <= 1.7.5.8, atualize para uma versão superior à 1.7.5.8 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin David Anderson Testimonial Slider, versão 1.3.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que pode levar a um ataque de script entre sites (XSS). **Recomendações** Para o plugin David Anderson Testimonial Slider versão 1.3.1 e anteriores, atualize para uma versão posterior à 1.3.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin 5 Anker Connect, versões 1.2.6 e anteriores **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) refletido e autenticado. Isso significa que um invasor poderia injetar scripts maliciosos no site, os quais seriam então executados pelo navegador do usuário. **Recomendações** Para as versões 1.2.6 e anteriores do plugin 5 Anker Connect, atualize para uma versão posterior à 1.2.6 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** O plugin “The Restaurant Menu – Food Ordering System – Table Reservation” para versões do WordPress até a 2.3.0, inclusive **Descrição** A vulnerabilidade permite a contornar a autorização por meio de várias ações AJAX devido à ausência de verificações de permissão e de validação de nonce. Isso permite que invasores autenticados com permissões mínimas realizem várias ações, como modificar as configurações do plugin e as preferências do sistema de pedidos. **Recomendações** Para versões até a 2.3.0, inclusive, atualize para uma versão que inclua as verificações de capacidade e a validação de nonce necessárias para impedir a burla de autorização. Como solução temporária, considere restringir o acesso às ações AJAX até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** O plugin “The Restaurant Menu – Food Ordering System – Table Reservation” para versões do WordPress até a 2.3.1, inclusive **Descrição** O problema se deve à falta ou à incorreção da validação de nonce em várias funções chamadas por meio de ações AJAX, como `forms action`, `set option` e `chosen options`. Isso permite que invasores não autenticados realizem ações administrativas, como modificar formulários, induzindo um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 2.3.1, inclusive, atualize para uma versão que inclua a validação de nonce adequada para ações AJAX, a fim de prevenir ataques de falsificação de solicitação entre sites (Cross-Site Request Forgery). Como solução temporária, considere restringir o acesso aos pontos de extremidade AJAX relacionados a `forms action`, `set option` e `chosen options` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Mammothology AB Press Optimizer, versões 1.1.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de tipo Stored Cross-Site Scripting (XSS). Essa vulnerabilidade permite que um invasor injete scripts maliciosos no site, o que pode levar a acesso ou controle não autorizado. A vulnerabilidade requer autenticação com privilégios de administrador ou superiores. **Recomendações** Para as versões 1.1.1 e anteriores do plugin Mammothology AB Press Optimizer, atualize para uma versão posterior à 1.1.1 para resolver o problema. Como solução temporária, considere restringir o acesso à interface administrativa do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin “Add Shortcodes Actions And Filters”, versão 2.0.9 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de tipo “Cross-Site Scripting (XSS) armazenado e autenticado”. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos na aplicação, o que pode levar a ações não autorizadas em nome de outros usuários. **Recomendações** Para o plugin Add Shortcodes Actions And Filters versão 2.0.9 e anteriores, atualize para uma versão posterior à 2.0.9 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin YDS Support Ticket System <= 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas no aplicativo web. **Recomendações** Para as versões do plugin YDS Support Ticket System <= 1.0, atualize para uma versão superior a 1.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin CPO Shortcodes anteriores à 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos no aplicativo, o que pode levar a ações não autorizadas em nome de outros usuários. **Recomendações** Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 ou posterior para resolver o problema.