Rotem Bar

**Nome do software vulnerável e versões afetadas** Versões do plugin Elementor Website Builder anteriores à 3.5.6 **Descrição** O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor remoto execute scripts entre sites. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) refletido baseada em DOM. Estima-se que mais de 6,5 milhões de sites estejam potencialmente afetados. A vulnerabilidade pode ser explorada manipulando o parâmetro `settings` no endpoint `/wp-content/plugins/elementor/assets/js/frontend.min.js`, especificamente usando o `elementor-action` com `action=lightbox` e `settings` manipulados para injetar scripts maliciosos. **Recomendações** Para versões do plugin Elementor Website Builder anteriores à 3.5.6, atualize o plugin para uma versão posterior à 3.5.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/wp-content/plugins/elementor/assets/js/frontend.min.js` até que um patch seja aplicado. Evite usar o parâmetro `settings` no endpoint afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Open Distro for Elasticsearch anteriores à 1.13.1.0 **Descrição** A vulnerabilidade permite que um usuário com privilégios já existente enumere serviços em escuta ou interaja com recursos configurados por meio de solicitações HTTP, excedendo o escopo pretendido do plugin Alerting. **Recomendações** Para versões anteriores à 1.13.1.0, atualize para a versão 1.13.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao plug-in Alerting para minimizar o risco de exploração.