Savphill

**Name of the Vulnerable Software and Affected Versions** PluginOps Landing Page Builder versions through 1.5.3.3 **Description** The software contains a flaw related to improper input handling during web page generation, specifically a Stored Cross-site Scripting issue. This impacts the `page-builder-add` component. The issue allows for the injection of malicious scripts. **Recommendations** Update PluginOps Landing Page Builder to a version later than 1.5.3.3.

**Nome do Software Vulnerável e Versões Afetadas** Extend Themes Colibri Page Builder versões anteriores à 1.0.334 **Descrição** O software Colibri Page Builder contém uma falha relacionada ao tratamento inadequado de entrada durante a geração de páginas web, o que pode resultar em Cross-site Scripting (XSS). Isso permite a injeção de scripts maliciosos em páginas web. O problema é identificado como Stored XSS, o que significa que o script malicioso é armazenado de forma persistente no servidor alvo. **Recomendações** Atualize o Extend Themes Colibri Page Builder para a versão 1.0.334 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Woostify até a 2.4.2 **Descrição** O software contém uma falha devido ao tratamento inadequado de dados fornecidos pelo usuário ao criar páginas web, resultando em um possível problema de Cross-site Scripting (XSS). Isso permite a injeção de scripts maliciosos em páginas web visualizadas por outros usuários. A vulnerabilidade é do tipo XSS Armazenado (Stored XSS), o que significa que o script malicioso é armazenado permanentemente no servidor alvo. **Recomendações** Atualize o Woostify para uma versão superior à 2.4.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WordPress até a 6.8.2 **Descrição** Existe uma falha no WordPress da Automattic que permite Cross-site Scripting (XSS) Armazenado. Um atacante com privilégios de usuário Autor ou superiores pode explorar essa vulnerabilidade. A vulnerabilidade decorre da neutralização inadequada de entrada durante a geração da página web. **Recomendações** Atualize o WordPress para uma versão superior à 6.8.2.

Nome do Software Vulnerável e Versões Afetadas: Versões do Blocksy até a 2.1.6 Descrição: Neutralização inadequada de entrada durante a geração da página web permite Cross-Site Scripting (XSS) Armazenado. Recomendações: Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Blocksy 2.0.97 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões do Blocksy 2.0.97 e anteriores, atualize para uma versão superior à 2.0.97 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** WebToffee WordPress Backup & Migration versions 1.5.3 and earlier **Description** The issue allows the retrieval of embedded sensitive data due to the insertion of sensitive information into log files. **Recommendations** For versions 1.5.3 and earlier, update to a version that fixes this issue to prevent sensitive information from being logged. As a temporary workaround, consider restricting access to log files to minimize the risk of sensitive data exposure.

**Name of the Vulnerable Software and Affected Versions** ILLID Advanced Woo Labels versions n/a through 2.14 **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, which allows Stored XSS. This means that an attacker can inject malicious scripts into the website, potentially affecting users who access the compromised page. **Recommendations** For versions n/a through 2.14, update to a version later than 2.14 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** NiteoThemes CMP – Coming Soon & Maintenance versões até 4.1.13 **Descrição** O problema está relacionado a um Upload de Arquivo com Tipo Perigoso sem Restrição, permitindo o uso de arquivos maliciosos. Isso pode potencialmente levar a exploits de execução remota de código (RCE). **Recomendações** Para versões até 4.1.13, atualize para uma versão posterior à 4.1.13 para resolver o problema. Como medida temporária, considere restringir o upload de arquivos apenas para tipos necessários e seguros até que um patch esteja disponível. Evite usar o plugin até que o problema seja resolvido, para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** WP Proposals versions prior to 2.3 **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, which allows Stored XSS. This means that an attacker can inject malicious scripts into the website, potentially affecting users who access the compromised page. **Recommendations** For versions prior to 2.3, update to version 2.3 or later to resolve the issue. As a temporary workaround, consider restricting user input to minimize the risk of exploitation. Avoid using potentially vulnerable features in WP Proposals until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** TablePress – Tables in WordPress made easy plugin versions up to, and including, 3.0.4 **Description** The issue is related to Stored Cross-Site Scripting due to insufficient input sanitization and output escaping. This allows authenticated attackers with Author-level access and above to inject arbitrary web scripts in pages via the `table-name` parameter. These scripts will execute whenever a user accesses an injected page. **Recommendations** For versions up to, and including, 3.0.4, update to a version that addresses the insufficient input sanitization and output escaping issue to prevent Stored Cross-Site Scripting attacks. As a temporary workaround, consider restricting access to the `table-name` parameter to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WooCommerce anteriores à 9.7.0 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Armazenado. Isso permite que um invasor injete scripts maliciosos no site, potencialmente afetando as sessões dos usuários. **Recomendações** Para versões anteriores à 9.7.0, atualize para a versão 9.7.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados dos usuários para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Document Block – Upload & Embed Docs versões 1.1.0 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Autorização Ausente no EmbedPress Document Block – Upload & Embed Docs. Esta vulnerabilidade afeta a capacidade de autorizar corretamente o acesso, potencialmente levando a ações não autorizadas. **Recomendações** Para as versões 1.1.0 e anteriores, atualize para uma versão que inclua a correção para a vulnerabilidade de Autorização Ausente, já que nenhuma solução alternativa ou medida de mitigação específica é fornecida para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** PPOM for WooCommerce versões n/a até 33.0.8 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Páginas da Web, também conhecido como Cross-site Scripting, que permite XSS Armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando usuários que acessam a página comprometida. **Recomendações** Para PPOM for WooCommerce versões n/a até 33.0.8, atualize para uma versão superior à 33.0.8 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade específica.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Icegram até a 3.1.31 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecido como Cross-site Scripting. Isso permite ataques de XSS Armazenado. **Recomendações** Para versões até a 3.1.31, atualize para uma versão superior à 3.1.31 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação para este problema específico.

**Nome do Software Vulnerável e Versões Afetadas** WebToffee WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels versões anteriores à 4.7.2 **Descrição** O problema está relacionado à neutralização incorreta de entrada durante a geração da página web, permitindo ataques de Cross-site Scripting (XSS) armazenado. Isso afeta o WooCommerce PDF Invoices, Packing Slips, Delivery Notes e Shipping Labels. **Recomendações** Para versões anteriores à 4.7.2, atualize para a versão 4.7.2 para resolver o problema. Como medida temporária, considere restringir o acesso aos componentes vulneráveis até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Popup Maker até a 1.20.2 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, o que permite cross-site scripting (XSS) armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente levando a acesso ou controle não autorizado. O número estimado de dispositivos potencialmente afetados em todo o mundo não é especificado. Não há informações fornecidas sobre incidentes no mundo real onde este problema foi explorado. **Recomendações** Para versões até a 1.20.2, atualize para uma versão posterior à 1.20.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WP Desk Flexible PDF Coupons (versões afetadas não especificadas) **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, o que permite Cross-site Scripting (XSS) armazenado. Isso significa que um atacante pode injetar scripts maliciosos no site, potencialmente afetando usuários que acessam as páginas comprometidas. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações fornecidas sobre incidentes no mundo real onde este problema foi explorado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Htaccess File Editor versões 1.0.19 e anteriores **Descrição** A falha permite a inserção de informações sensíveis em arquivos ou diretórios acessíveis externamente, explorando níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para o Htaccess File Editor versões 1.0.19 e anteriores, atualize para uma versão posterior à 1.0.19 para resolver a falha.

**Name of the Vulnerable Software and Affected Versions** Email Templates Customizer for WordPress – Drag And Drop Email Templates Builder – YeeMail versions n/a through 2.1.4 **Description** The issue is related to improper neutralization of input during web page generation, also known as Cross-site Scripting. This allows for Stored XSS. There is no information provided about the estimated number of potentially affected devices worldwide or details about real-world incidents where this issue was exploited. **Recommendations** For versions n/a through 2.1.4, update to a version later than 2.1.4 to resolve the issue. At the moment, there is no information about additional mitigation measures.