Roel Van Beurden

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced Uploader para WordPress anteriores à 4.3 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado, incluindo aqueles com privilégios mínimos, como assinantes, faça o upload de arquivos arbitrários. Isso inclui arquivos que podem ser executados pelo servidor, como arquivos PHP, o que pode levar à execução remota de código (RCE). **Recomendações** Para versões do plugin Advanced Uploader para WordPress anteriores à 4.3, atualize para a versão 4.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Popup Maker para WordPress anteriores à 1.16.5 **Descrição** O problema diz respeito ao plugin Popup Maker para WordPress, que não sanitiza e escapa adequadamente algumas de suas configurações de pop-up. Isso poderia permitir que usuários com privilégios elevados, como administradores, realizassem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade unfiltered html estiver desativada. **Recomendações** Para versões anteriores à 1.16.5, atualize para a versão 1.16.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar as configurações de pop-up vulneráveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** GetSimple CMS versão 3.3.16 **Descrição** O problema diz respeito a uma falha persistente de Cross Site Scripting (XSS). Ela ocorre por meio do parâmetro `permalink` na página Configurações. O XSS é executado ao criar e abrir uma nova página. **Recomendações** Para o GetSimple CMS versão 3.3.16, atualize para uma versão mais recente que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso à página Configurações para minimizar o risco de exploração. Evite usar o parâmetro `permalink` na página Configurações afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** WebsiteBaker versão 2.12.2 **Descrição** A vulnerabilidade permite a injeção de SQL por meio do parâmetro `display name` no endpoint da API “/websitebaker/admin/preferences/save.php”. Isso poderia permitir que um invasor comprometesse a aplicação, acessasse ou modificasse dados, ou explorasse vulnerabilidades latentes no banco de dados subjacente. **Recomendações** Para a versão 2.12.2, evite usar o parâmetro `display name` no endpoint da API “/websitebaker/admin/preferences/save.php” até que o problema seja resolvido. Considere restringir o acesso a este endpoint para minimizar o risco de exploração.