Scott Kingsley Clark

**Nome do software vulnerável e versões afetadas** Versões do pmpro-membership-maps anteriores à 0.7 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador divulguem informações confidenciais sobre usuários registrados no site. Isso se deve à falta de um controle de acesso adequado no plugin pmpro-membership-maps do WordPress. **Recomendações** Para versões anteriores à 0.7, atualize para a versão 0.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso da função de colaborador a informações confidenciais de membros até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do pmpro-member-directory anteriores à 1.2.6 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador divulguem informações confidenciais de outros usuários, incluindo hashes de senha. **Recomendações** Para versões anteriores à 1.2.6, atualize para a versão 1.2.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do kadence-blocks-pro anteriores à 2.3.8 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador vazem opções arbitrárias do banco de dados utilizando determinadas funcionalidades de shortcode. **Recomendações** Para versões anteriores à 2.3.8, atualize para a versão 2.3.8 ou posterior para resolver o problema.

Nome do software vulnerável e versões afetadas: Plugin Advanced Custom Fields (ACF) para WordPress, versões anteriores à 6.3 Plugin Advanced Custom Fields Pro para WordPress, versões anteriores à 6.3 Descrição: A vulnerabilidade permite a exibição de valores de campos personalizados de qualquer postagem por meio de shortcode, sem verificar se o acesso é válido. Isso pode levar ao acesso não autorizado a informações confidenciais. Recomendações: Para versões do plugin Advanced Custom Fields (ACF) para WordPress anteriores à 6.3, atualize para a versão 6.3 ou posterior. Para versões do plugin Advanced Custom Fields Pro para WordPress anteriores à 6.3, atualize para a versão 6.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do plugin The Events Calendar para WordPress anteriores à 6.4.0.1 Versões do plugin The Events Calendar Pro para WordPress anteriores à 6.4.0.1 **Descrição** A falha permite que usuários com, no mínimo, a função de colaborador divulguem detalhes sobre eventos aos quais não deveriam ter acesso, incluindo eventos protegidos por senha e rascunhos. **Recomendações** Para as versões do plugin The Events Calendar para WordPress anteriores à 6.4.0.1, atualize para a versão 6.4.0.1 ou posterior. Para as versões do plugin The Events Calendar Pro para WordPress anteriores à 6.4.0.1, atualize para a versão 6.4.0.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do plugin WooCommerce para WordPress anteriores à 8.6 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador acessem produtos aos quais não deveriam ter acesso, incluindo produtos privados, rascunhos e produtos na lixeira. **Recomendações** Para versões anteriores à 8.6, atualize para a versão 8.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso da função de colaborador aos produtos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Meta Box para WordPress anteriores à 5.9.4 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador acessem campos personalizados arbitrários atribuídos às publicações de outros usuários. **Recomendações** Para versões anteriores à 5.9.4, atualize para a versão 5.9.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso da função de colaborador aos campos personalizados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin wp-schema-pro para WordPress anteriores à 2.7.16 **Descrição** A falha permite que um usuário com permissão de colaborador acesse campos personalizados em qualquer postagem, independentemente do tipo ou status da postagem, por meio de um shortcode. Isso ocorre porque o plugin não valida o acesso às postagens. **Recomendações** Para versões anteriores à 2.7.16, atualize o plugin wp-schema-pro do WordPress para a versão 2.7.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao manipulador de shortcodes para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin User Registration para WordPress anteriores à 2.12 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador executem códigos de atalho (shortcodes) confidenciais, que podem ser usados para gerar e divulgar URLs válidas de redefinição de senha. Isso permite que eles assumam o controle de qualquer conta. **Recomendações** Para versões anteriores à 2.12, atualize para a versão 2.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso do papel de colaborador a códigos de atalho confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.12.9 do plugin Paid Memberships Pro para WordPress **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador divulguem metadados confidenciais de outros usuários. **Recomendações** Para versões anteriores à 2.12.9, atualize para a versão 2.12.9 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Event Tickets and Registration para WordPress anteriores à 5.8.1 Versões do plugin Events Tickets Plus para WordPress anteriores à 5.9.1 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador revelem a existência de determinados eventos aos quais não deveriam ter acesso, incluindo eventos em rascunho, privados, pendentes de revisão, protegidos por senha e na lixeira. **Recomendações** Para versões do plugin Event Tickets and Registration para WordPress anteriores à 5.8.1, atualize para a versão 5.8.1 ou posterior. Para versões do plugin Events Tickets Plus para WordPress anteriores à 5.9.1, atualize para a versão 5.9.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do plugin Events Tickets Plus para WordPress anteriores à 5.9.1 **Descrição** A vulnerabilidade permite que usuários com, no mínimo, a função de colaborador divulguem a lista de participantes em qualquer tipo de postagem, independentemente do seu status, como rascunhos, postagens privadas, em espera de revisão, protegidas por senha e postagens na lixeira. **Recomendações** Para versões anteriores à 5.9.1, atualize para a versão 5.9.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso da função de colaborador a informações confidenciais até que a atualização seja aplicada.