Rasi Afeef

**Nome do software vulnerável e versões afetadas** Plugin ThemeHunk Advance WordPress Search, versões 1.1.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização no plugin ThemeHunk Advance WordPress Search. Isso poderia permitir acesso não autorizado devido à ausência de verificações de autorização. **Recomendações** Atualize para uma versão corrigida o mais rápido possível e verifique as configurações de segurança do plugin. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WordPress Countdown Widget, versões 3.1.9.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que também permite a execução de scripts entre sites (XSS). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas em um aplicativo web e também injetar scripts maliciosos no site. **Recomendações** Para as versões 3.1.9.1 e anteriores do WordPress Countdown Widget, atualize para uma versão posterior à 3.1.9.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao WordPress Countdown Widget até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin ThemeHunk Advance WordPress Search, versões 1.2.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização no plugin ThemeHunk Advance WordPress Search. **Recomendações** Para as versões 1.2.1 e anteriores do plugin ThemeHunk Advance WordPress Search, atualize para uma versão posterior à 1.2.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** HREFLANG Tags Lite, versões n/a a 2.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização no Vagary Digital HREFLANG Tags Lite. **Recomendações** Para as versões n/a até 2.0.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin ark-commenteditor para WordPress, versões 2.15.6 e anteriores **Descrição** A vulnerabilidade permite que invasores insiram um iFrame na página, possibilitando-lhes carregar conteúdo arbitrário de qualquer página na seção de comentários. Isso ocorre devido à falha do plugin em sanitizar ou codificar adequadamente os comentários quando está no modo de editor de código-fonte. **Recomendações** Para as versões 2.15.6 e anteriores do plugin ark-commenteditor para WordPress, atualize para uma versão posterior à 2.15.6 para resolver o problema. Como solução temporária, considere desativar o modo Editor de código-fonte para minimizar o risco de exploração. Restrinja o acesso à seção de comentários para minimizar o risco de carregamento de conteúdo arbitrário.

**Name of the Vulnerable Software and Affected Versions** Ali Irani Auto Upload Images plugin versions <= 3.3 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability that also allows Stored Cross-Site Scripting (XSS). **Recommendations** For Ali Irani Auto Upload Images plugin versions <= 3.3, update to a version higher than 3.3 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Tim Eckel Minify HTML plugin versions <= 2.1.7 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions <= 2.1.7, update to a version higher than 2.1.7 to resolve the issue. At the moment, there is no information about other specific mitigation measures for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Forms by CaptainForm – Form Builder for WordPress versions <= 2.5.3 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions <= 2.5.3, update to a version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** MiKa's OSM – OpenStreetMap plugin versions <= 6.0.1 **Description** The issue is related to Cross-Site Request Forgery (CSRF) in the plugin. This means an attacker could potentially trick a user into performing unintended actions on the application. **Recommendations** For versions <= 6.0.1, update to a version higher than 6.0.1 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Plugin Oceanwp Sticky Header, versão 1.0.8 e anteriores **Descrição** Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) afeta o plugin Oceanwp Sticky Header no WordPress. Essa vulnerabilidade permite que solicitações maliciosas sejam feitas em nome do usuário sem seu conhecimento ou consentimento. **Recomendações** Para o plugin Oceanwp sticky header versão 1.0.8 e anteriores, atualize para uma versão posterior à 1.0.8 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Mantenimiento web <= 0.13 **Descrição** O problema é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que leva a um ataque de script entre sites armazenado (XSS). Isso significa que um invasor pode induzir um usuário a realizar ações indesejadas em um aplicativo web, o que pode resultar na execução de scripts maliciosos armazenados no site. **Recomendações** Para as versões do plugin Mantenimiento web <= 0.13, atualize para uma versão superior a 0.13 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do site WordPress para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Media Library Folders <= 7.1.1 **Descrição** O problema é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor pode induzir um usuário a realizar ações indesejadas em um aplicativo web no qual o usuário está autenticado. **Recomendações** Para as versões do plugin Media Library Folders <= 7.1.1, atualize para uma versão superior à 7.1.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Fatcat Apps Analytics Cat <= 1.0.9 **Descrição** O problema é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite alterações nas configurações do plugin. **Recomendações** Para as versões do plugin Fatcat Apps Analytics Cat <= 1.0.9, atualize para uma versão superior a 1.0.9 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin 3D Tag Cloud <= 3.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado múltiplo via Cross-Site Request Forgery (CSRF). Essa vulnerabilidade afeta o plugin 3D Tag Cloud no WordPress. **Recomendações** Para versões do plugin 3D Tag Cloud <= 3.8, atualize para uma versão superior à 3.8 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Kraken.io Image Optimizer <= 2.6.5 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas em um aplicativo web. **Recomendações** Para as versões do plugin Kraken.io Image Optimizer <= 2.6.5, atualize para uma versão superior a 2.6.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Topdigitaltrends Mega Addons For WPBakery Page Builder, versões <= 4.2.7 **Descrição** O problema é uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF). Isso significa que um invasor pode induzir um usuário a realizar ações indesejadas em um aplicativo web no qual o usuário esteja autenticado. **Recomendações** Para as versões <= 4.2.7 do plugin Topdigitaltrends Mega Addons For WPBakery Page Builder, atualize para uma versão superior à 4.2.7 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin RD Station de 5.1.3 a 5.2.0 **Descrição** O problema diz respeito a várias vulnerabilidades do tipo Cross-Site Request Forgery (CSRF). O CSRF é um tipo de ataque em que um invasor induz um usuário a realizar ações indesejadas em um aplicativo web no qual o usuário está autenticado. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 5.1.3 a 5.2.0 do plugin RD Station, atualize para uma versão posterior à 5.2.0 para resolver o problema. No momento, não há informações sobre outras correções específicas para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões <= 2.0.1 do plugin Mickey Kay's Better Font Awesome **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas no aplicativo web. **Recomendações** Para versões <= 2.0.1, atualize para uma versão superior a 2.0.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin GetResponse <= 5.5.20 no WordPress. **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas em uma aplicação web na qual o usuário esteja autenticado. **Recomendações** Para versões do plugin GetResponse <= 5.5.20, atualize para uma versão superior a 5.5.20 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões <= 7.5 do plugin wp-forecast de Hans Matzen **Descrição** A vulnerabilidade consiste em um ataque de Cross-Site Scripting (XSS) armazenado e autenticado. Isso significa que um invasor com privilégios de administrador ou superiores pode injetar scripts maliciosos na aplicação, os quais podem então ser executados por outros usuários. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões <= 7.5 do plugin wp-forecast de Hans Matzen, atualize para uma versão superior à 7.5 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação.