Sean Bales

**Nome do software vulnerável e versões afetadas** Plugin “Contests by Rewards Fuel” para WordPress, versões até a 2.0.62, inclusive **Descrição** O problema se deve à falta ou à validação incorreta do nonce na função `ajax handler()`, possibilitando que invasores não autenticados atualizem as configurações do plugin e injetem JavaScript malicioso por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um usuário do site com a permissão `edit posts` a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 2.0.62, inclusive, atualize para uma versão superior à 2.0.62 para resolver o problema. Como solução temporária, considere desativar a função `ajax handler()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin “Contests by Rewards Fuel” para o WordPress, versões até a 2.0.64, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas por meio do parâmetro `update rewards fuel api key`. Esses scripts serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 2.0.64, inclusive, atualize para uma versão superior à 2.0.64 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `update rewards fuel api key` para minimizar o risco de exploração.