Seqode

**Nome do Software Vulnerável e Versões Afetadas** Windows Connected Devices Platform Service (Cdpsvc) (versões afetadas não especificadas) **Descrição** O problema está relacionado a um consumo não controlado de recursos no componente Windows Connected Devices Platform Service (Cdpsvc) do sistema operacional Microsoft Windows. Isso pode ser explorado por um atacante remoto para causar uma negação de serviço. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Custom Field Suite para versões do WordPress até a 2.6.5, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do parâmetro `cfs[fields][*][name]`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. O problema afeta apenas instalações multisite e instalações nas quais o `unfiltered html` foi desativado. **Recomendações** Para versões até e incluindo a 2.6.5, atualize para uma versão posterior à 2.6.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `cfs[fields][*][name]` para minimizar o risco de exploração. Além disso, certifique-se de que unfiltered html esteja habilitado, se possível, para reduzir a superfície de ataque.

**Nome do software vulnerável e versões afetadas** Plugin Elementor ImageBox para o WordPress, versões até a 1.2.8, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting (XSS) por meio do widget ImageBox, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas em atributos fornecidos pelo usuário. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 1.2.8, inclusive, atualize para uma versão superior à 1.2.8 para resolver o problema. Como solução temporária, considere restringir o acesso ao widget ImageBox para usuários com acesso de nível de colaborador ou superior até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Piwigo versions prior to 14.0.0beta4 **Description** A reflected cross-site scripting (XSS) issue is present in the `/admin.php?page=plugins&tab=new&installstatus=ok&plugin id=[here]` page. This issue allows an attacker to inject malicious HTML and JS code into the HTML page, which could then be executed by admin users when they visit the URL with the payload. The issue is caused by the insecure injection of the `plugin id` value from the URL into the HTML page. An attacker can exploit this issue by crafting a malicious URL that contains a specially crafted `plugin id` value. Only users who are logged in as administrators are affected, as the issue is only present on the `/admin.php?page=plugins&tab=new&installstatus=ok&plugin id=[here]` page, which is only accessible to administrators. **Recommendations** For versions prior to 14.0.0beta4, update to version 14.0.0beta4 or later to resolve the issue. As a temporary workaround, consider restricting access to the `/admin.php?page=plugins&tab=new&installstatus=ok&plugin id=[here]` page to minimize the risk of exploitation. Avoid using the `plugin id` parameter in the affected API endpoint until the issue is resolved.