Rezaduty

**Nome do software vulnerável e versões afetadas** Plug-in “8Degree Themes Coming Soon Landing Page and Maintenance Mode” para WordPress, versões 2.2.0 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite a violação do controle de acesso e a recuperação de dados confidenciais incorporados. Recomenda-se aos usuários que atualizem para a versão mais recente a fim de mitigar os riscos. **Recomendações** Atualize o plugin 8Degree Themes Coming Soon Landing Page and Maintenance Mode para WordPress para a versão mais recente a fim de proteger o site WordPress. Como solução temporária, considere restringir o acesso a dados confidenciais até que o plugin seja atualizado.

**Nome do software vulnerável e versões afetadas** Plugin Limit Login Attempts (Spam Protection) para versões do WordPress até a 5.3, inclusive **Descrição** O problema decorre de restrições insuficientes quanto à origem das informações de endereço IP utilizadas para registro de solicitações e restrições de login. Os invasores podem fornecer o cabeçalho `X-Forwarded-For` com um endereço IP diferente, que será registrado e poderá ser usado para contornar configurações que possam ter bloqueado o login de um endereço IP ou país. **Recomendações** Para o plugin Limit Login Attempts (Spam Protection) para versões do WordPress até a 5.3, inclusive, atualize para uma versão posterior à 5.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao cabeçalho `X-Forwarded-For` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin WordPress Visitors para WordPress, versão 1.0 **Descrição** O plugin WordPress Visitors para WordPress está vulnerável a um ataque de Stored Cross-Site Scripting (XSS) por meio de um valor falsificado no cabeçalho HTTP, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários nas páginas, que serão executados sempre que um usuário acessar a página nm vistior. **Recomendações** Para a versão 1.0, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saídas, a fim de prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, considere restringir o acesso à página nm vistior para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Limit Login Attempts Plus para versões do WordPress até a 1.1.0, inclusive **Descrição** O problema decorre de restrições insuficientes quanto à origem das informações de endereço IP utilizadas para registro de solicitações e restrições de login. Isso permite que invasores forneçam ao cabeçalho `X-Forwarded-For` um endereço IP diferente, que será registrado, potencialmente contornando configurações que bloqueiam o login de endereços IP ou países específicos. **Recomendações** Para versões até a 1.1.0, inclusive, considere desativar o recurso de registro de endereços IP até que uma correção esteja disponível ou restrinja o acesso à funcionalidade de login para minimizar o risco de exploração. Evite confiar exclusivamente no cabeçalho `X-Forwarded-For` para obter informações de endereço IP.

**Nome do software vulnerável e versões afetadas** Segurança, antivírus, firewall – plugin S.A.F. para o WordPress, versões até a 2.3.5, inclusive **Descrição** O problema se deve a restrições insuficientes sobre de onde as informações de endereço IP são obtidas para registro de solicitações e restrições de login. Os invasores podem fornecer o cabeçalho `X-Forwarded-For` com um endereço IP diferente, que será registrado e poderá ser usado para contornar configurações que possam ter bloqueado o login de um endereço IP. **Recomendações** Para o plugin Segurança, Antivírus, Firewall – S.A.F para versões do WordPress até a 2.3.5, inclusive, considere atualizar para uma versão que corrija o problema de falsificação de endereço IP. Como solução temporária, considere restringir o uso do cabeçalho `X-Forwarded-For` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plug-in Web Application Firewall para versões do WordPress até a 2.1.2, inclusive **Descrição** O problema decorre de restrições insuficientes quanto à origem das informações de endereço IP utilizadas para o registro de solicitações e restrições de login. Os invasores podem explorar essa vulnerabilidade fornecendo o cabeçalho `X-Forwarded-For` com um endereço IP diferente, que será registrado e poderá ser usado para contornar configurações que possam ter bloqueado o login de um endereço IP ou país. **Recomendações** Para versões até a 2.1.2, inclusive, considere atualizar para uma versão que corrija esse problema, pois a versão atual permite que invasores manipulem o endereço IP registrado pelo sistema, potencialmente contornando restrições de segurança. Como solução temporária, considere restringir o acesso ao cabeçalho `X-Forwarded-For` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin IP Vault – WP Firewall para versões do WordPress até a 1.1, inclusive **Descrição** O problema se deve a restrições insuficientes sobre de onde as informações de endereço IP são obtidas para registro de solicitações e restrições de login. Os invasores podem fornecer o cabeçalho `X-Forwarded-For` com um endereço IP diferente, que será registrado e poderá ser usado para contornar configurações que possam ter bloqueado o login de um endereço IP ou país. **Recomendações** Para versões até a 1.1, inclusive, considere restringir o acesso ao cabeçalho `X-Forwarded-For` para minimizar o risco de exploração. Como solução temporária, revise e atualize as configurações de registro de solicitações e restrições de login para levar em conta a possibilidade de falsificação de endereços IP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin LOGIN AND REGISTRATION ATTEMPTS LIMIT para versões do WordPress até a 2.1, inclusive **Descrição** O problema se deve a restrições insuficientes sobre de onde as informações de endereço IP são obtidas para registro de solicitações e restrições de login. Os invasores podem fornecer o cabeçalho `X-Forwarded-For` com um endereço IP diferente, que será registrado e poderá ser usado para contornar configurações que possam ter bloqueado o login de um endereço IP. **Recomendações** Para versões até a 2.1, inclusive, considere restringir o acesso ao cabeçalho `X-Forwarded-For` para minimizar o risco de exploração. Como solução temporária, revise e ajuste as configurações de registro de endereços IP e restrição de login para levar em conta possíveis falsificações.

**Nome do software vulnerável e versões afetadas** Versões do NetBox até 3.7.0 **Descrição** Foi detectada uma falha no processamento do arquivo /core/config-revisions do componente Configuração da Página Inicial. A manipulação da entrada `<h1 onload=alert(1)>`test`</h1>` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A existência real dessa vulnerabilidade ainda é questionável no momento. **Recomendações** Para versões até 3.7.0, como solução temporária, considere restringir o acesso ao arquivo /core/config-revisions para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Popup Maker – Popup for opt-ins, lead gen, & more versions 1.17.1 and earlier **Description** The issue is related to the exposure of sensitive information to an unauthorized actor. This can potentially lead to unauthorized access to confidential data. There is no information provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For versions 1.17.1 and earlier, update to a version later than 1.17.1 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** File Manager – 100% Free & Open Source File Manager Plugin for WordPress versions n/a through 5.2.7 **Description** The issue is related to Deserialization of Untrusted Data, which affects the File Manager plugin for WordPress. **Recommendations** For versions n/a through 5.2.7, update to a version later than 5.2.7 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** German Krutov LOGIN AND REGISTRATION ATTEMPTS LIMIT plugin versions <= 2.1 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For German Krutov LOGIN AND REGISTRATION ATTEMPTS LIMIT plugin versions <= 2.1, update to a version higher than 2.1 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** chronoengine.Com Chronoforms plugin versions prior to 7.0.9 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions prior to 7.0.9, update to a version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Logaster Logo Generator plugin versions prior to 1.4 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This means an attacker could potentially trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For versions prior to 1.4, update to version 1.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WP Basic Elements plugin versions prior to 5.2.15 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This means an attacker could potentially trick a user into performing unintended actions on a web application. **Recommendations** For WP Basic Elements plugin versions prior to 5.2.15, update to version 5.2.15 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Viadat Creations Store Locator for WordPress with Google Maps – LotsOfLocales plugin versions <= 3.98.7 **Description** The issue is a Cross-Site Request Forgery (CSRF) vulnerability. This means an attacker can trick a user into performing unintended actions on a web application that the user is authenticated to. No information is provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For versions <= 3.98.7, update to a version higher than 3.98.7 to resolve the issue. At the moment, there is no information about other mitigation measures for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** ClickFunnels plugin versions <= 3.1.1 **Description** The issue is a Cross-Site Request Forgery (CSRF) vulnerability. This means an attacker can trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For ClickFunnels plugin versions <= 3.1.1, update to a version higher than 3.1.1 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WP-Advanced-Search plugin versions 3.3.8 and earlier **Description** A Cross-Site Request Forgery (CSRF) issue affects the WP-Advanced-Search plugin. This allows an attacker to perform unintended actions on a user's account. **Recommendations** For versions 3.3.8 and earlier, update to a version later than 3.3.8 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** dev.Xiligroup.Com - MS plugin versions 1.12.03 and earlier **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability. This type of vulnerability allows an attacker to trick a user into performing unintended actions on a web application that the user is authenticated to. **Recommendations** For dev.Xiligroup.Com - MS plugin versions 1.12.03 and earlier, update to a version later than 1.12.03 to resolve the issue. At the moment, there is no information about additional mitigation measures.

**Name of the Vulnerable Software and Affected Versions** The Hide My WP Ghost – Security Plugin plugin for WordPress versions up to, and including, 5.0.18 **Description** The issue is due to insufficient restrictions on where the IP Address information is being retrieved for request logging and login restrictions. Attackers can supply the `X-Forwarded-For` header with a different IP Address that will be logged and can be used to bypass settings that may have blocked out an IP address from logging in. **Recommendations** For versions up to, and including, 5.0.18, consider restricting the use of the `X-Forwarded-For` header until a patch is available. As a temporary workaround, review and update request logging and login restriction settings to minimize the risk of exploitation.