Saeed Alzahrani

**Name of the Vulnerable Software and Affected Versions** Members Import plugin for WordPress versions up to, and including, 1.4.2 **Description** The issue is related to Self Cross-Site Scripting via the `user login` parameter in an imported CSV file due to insufficient input sanitization and output escaping. This allows attackers to inject arbitrary web scripts in pages that execute if they can trick a site's administrator into uploading a CSV file with the malicious payload. **Recommendations** For versions up to, and including, 1.4.2, consider disabling the import functionality of the Members Import plugin until a patch is available, and restrict access to uploading CSV files to minimize the risk of exploitation. As a temporary workaround, avoid using the `user login` parameter in imported CSV files until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Plugin Sticky Popup para versões do WordPress até a 1.2, inclusive **Descrição** A vulnerabilidade está relacionada a Cross-Site Scripting (XSS) armazenado por meio do parâmetro `popup title`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com privilégios de nível administrativo ou superiores injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta principalmente sites onde a opção `unfiltered html` foi desativada para administradores e em instalações multisite onde a opção `unfiltered html` está desativada para administradores. **Recomendações** Para versões até a 1.2, inclusive, considere desativar o parâmetro `popup title` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de injeção de scripts web arbitrários. Evite usar o parâmetro `popup title` em páginas afetadas até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.