Robert Devore

Nome do Software Vulnerável e Versões Afetadas: O plugin Lightbox & Modal Popup para WordPress – Plugin FooBox para WordPress, versões até e incluindo a 2.7.34 Descrição: A questão está relacionada ao Cross-Site Scripting Armazenado via textos alternativos de imagens, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Autor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada. Recomendações: Para versões até e incluindo a 2.7.34, atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes para prevenir ataques de Cross-Site Scripting Armazenado.

**Nome do Software Vulnerável e Versões Afetadas** The Element Pack Addons for Elementor, versões até a 5.11.2 (inclusive) **Descrição** A vulnerabilidade está relacionada ao Cross-Site Scripting Armazenado devido à sanitização de entrada e escape de saída insuficientes, especificamente através do parâmetro `marker content`. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem scripts web arbitrários nas páginas, os quais serão executados quando um usuário acessar uma página comprometida. **Recomendações** Para versões até a 5.11.2 (inclusive), atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes, especificamente para o parâmetro `marker content`, a fim de prevenir ataques de Cross-Site Scripting Armazenado. Como medida paliativa temporária, considere restringir o acesso ao parâmetro `marker content` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** The Borderless – Elementor Addons and Templates plugin for WordPress versions up to, and including, 1.7.1 **Description** The issue is related to Stored Cross-Site Scripting due to insufficient input sanitization and output escaping, allowing authenticated attackers with Contributor-level access and above to inject arbitrary web scripts in pages via the `title` parameter. This makes it possible for attackers to execute scripts whenever a user accesses an injected page. **Recommendations** For versions up to, and including, 1.7.1, update to a version that addresses the Stored Cross-Site Scripting issue. As a temporary workaround, consider restricting access to the `title` parameter to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Plugin LA-Studio Element Kit for Elementor para WordPress, versões até e incluindo a 1.5.2 **Descrição** O problema está relacionado a Cross-Site Scripting Armazenado devido à sanitização de entrada e ao escape de saída insuficientes em atributos fornecidos pelo usuário nos widgets Image Compare e Google Maps do plugin. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada. **Recomendações** Para versões até e incluindo a 1.5.2, atualize para uma versão que corrija o problema de sanitização de entrada e escape de saída insuficientes para prevenir ataques de Cross-Site Scripting Armazenado. Como medida temporária, considere restringir o acesso aos widgets Image Compare e Google Maps para usuários com acesso de nível de contribuidor ou superior até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: FooBox Image Lightbox versões até a 2.7.33 Descrição: O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Páginas Web, também conhecido como Cross-site Scripting. Isso permite que scripts potencialmente maliciosos sejam injetados em páginas web. Recomendações: Para as versões até a 2.7.33, atualize para uma versão posterior à 2.7.33 para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: Alimir WP ULike versões n/d até 4.7.9.1 Descrição: O problema está relacionado à falta de autorização no Alimir WP ULike. Recomendações: Para as versões n/d até 4.7.9.1, atualize para uma versão superior à 4.7.9.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WP ULike anteriores à 4.7.6 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, também conhecida como 'Cross-site Scripting', o que permite XSS armazenado. Isso permite que atacantes injetem scripts maliciosos no site. **Recomendações** Para versões anteriores à 4.7.6, atualize para a versão 4.7.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a entrada do usuário para minimizar o risco de exploração. Evite utilizar funções ou parâmetros potencialmente vulneráveis nos endpoints de API afetados até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** CoDesigner WooCommerce Builder for Elementor versões 4.7.17.2 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração da página web, o que permite Cross-site Scripting (XSS) armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente levando a acesso não autorizado ou controle. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações fornecidas sobre incidentes no mundo real onde este problema foi explorado. **Recomendações** Para as versões 4.7.17.2 e anteriores, atualize para uma versão posterior à 4.7.17.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a áreas sensíveis do site para minimizar o risco de exploração. Evite usar recursos potencialmente vulneráveis no CoDesigner WooCommerce Builder for Elementor até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** WPBITS Addons For Elementor Page Builder versões anteriores à 1.5.1 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas da web, também conhecido como 'Cross-site Scripting', que permite XSS armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando usuários que visitam a página comprometida. **Recomendações** Para versões anteriores à 1.5.1, atualize para a versão 1.5.1 ou superior para resolver o problema. Como medida temporária, considere restringir o acesso a áreas sensíveis do site que utilizam o plugin WPBITS Addons For Elementor Page Builder até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** inc2734 Smart Custom Fields versões anteriores à 5.0.0 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, também conhecido como 'Cross-site Scripting', o que permite XSS armazenado. Este problema permite que atacantes injetem scripts maliciosos em páginas web, potencialmente afetando sessões de usuário. **Recomendações** Para versões anteriores à 5.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Piotnet Addons For Elementor versions 2.4.31 and earlier **Description** The issue affects Piotnet Addons For Elementor, allowing Stored XSS due to improper neutralization of input during web page generation. This enables an attacker to inject malicious scripts into the website. **Recommendations** For versions 2.4.31 and earlier, update to a version later than 2.4.31 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Master Addons – Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations para WordPress versões até, e incluindo, a 2.0.6.7 **Descrição** A questão envolve uma vulnerabilidade de cross-site scripting armazenado através do módulo Tooltip do plugin, devido à sanitização insuficiente de entrada e escape de saída em atributos fornecidos pelo usuário. Isso permite que atacantes autenticados com acesso de nível de contribuidor ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada. **Recomendações** Para versões até, e incluindo, a 2.0.6.7, atualize para uma versão superior a 2.0.6.7 para resolver o problema. Como medida temporária, considere desativar o módulo Tooltip até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração, especialmente para usuários com acesso de nível de contribuidor ou superior.

**Nome do software vulnerável e versões afetadas** WP Royal Royal Elementor Addons, versões 1.3.987 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite a execução de XSS armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, o que pode levar a acesso não autorizado ou roubo de dados. **Recomendações** Para as versões 1.3.987 e anteriores do WP Royal Royal Elementor Addons, atualize para uma versão que contenha uma correção para este problema, uma vez que não há solução alternativa específica disponível para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Plugin “The Prime Slider – Addons For Elementor” para o WordPress, versões até a 3.15.18, inclusive Descrição: A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio do widget Blog do plugin, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Recomendações: Para versões até e incluindo a 3.15.18, atualize o plugin para a versão corrigida mais recente para resolver o problema. Como solução temporária, considere restringir o acesso ao widget Blog até que uma correção esteja disponível. Além disso, certifique-se de que todos os atributos fornecidos pelo usuário sejam devidamente sanitizados e escapados para impedir a injeção de scripts web arbitrários.

Nome do software vulnerável e versões afetadas: Firelight Lightbox versões 2.3.3 e anteriores Descrição: O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. Recomendações: Para as versões 2.3.3 e anteriores, atualize para uma versão posterior à 2.3.3 para resolver o problema. Como solução alternativa temporária, considere restringir a entrada de dados do usuário no plugin Firelight Lightbox para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Robo Gallery versões 3.2.21 e anteriores Descrição: O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. Recomendações: Para as versões 3.2.21 e anteriores, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Exclusive Addons Elementor até a 2.7.1 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite o XSS armazenado, que pode ser usado para injetar scripts maliciosos em páginas da Web. **Recomendações** Para versões até a 2.7.1, atualize para uma versão posterior à 2.7.1 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Evite usar recursos potencialmente vulneráveis no Exclusive Addons Elementor até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Weblizar Lightbox slider – Responsive Lightbox Gallery, versões 1.10.0 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para o Weblizar Lightbox slider – Responsive Lightbox Gallery versões 1.10.0 e anteriores, atualize para uma versão que corrija este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do dFactory Responsive Lightbox até a 2.4.8 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite o XSS armazenado, em que um invasor pode injetar scripts maliciosos no site. **Recomendações** Para versões até a 2.4.8, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** G Meta Keywords, versões 1.4 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques XSS armazenados. **Recomendações** Para as versões 1.4 e anteriores, atualize para uma versão que corrija o problema de neutralização inadequada de entradas durante a geração de páginas da Web, a fim de prevenir ataques XSS armazenados. Como solução alternativa temporária, considere restringir as entradas do usuário para impedir a injeção de código malicioso até que um patch esteja disponível.