Shivam Rai

**Nome do software vulnerável e versões afetadas** Versões do plugin SVG Support para WordPress anteriores à 2.3.20 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de escapamento na configuração `CSS Class to target` antes de ela ser exibida em um atributo. Isso pode ocorrer mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 2.3.20, atualize para a versão 2.3.20 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da configuração `CSS Class to target` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin NEX-Forms para WordPress anteriores à 8.4.3 **Descrição** O problema diz respeito à falta de verificações CSRF ao editar um formulário e à falha em escapar algumas configurações e campos do formulário antes de exibi-los nos atributos. Isso poderia permitir que invasores fizessem com que um administrador conectado editasse formulários arbitrários contendo cargas de Cross-Site Scripting, possibilitando que usuários com privilégios elevados realizassem ataques de Cross-Site Scripting. **Recomendações** Para versões anteriores à 8.4.3, atualize para a versão 8.4.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos recursos de edição de formulários para minimizar o risco de exploração. Evite usar o recurso de edição de formulários do plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin Video Lessons Manager para WordPress anteriores à 1.7.2 Versões do plugin Video Lessons Manager Pro para WordPress anteriores à 3.5.9 **Descrição** O problema diz respeito à sanitização e ao escape inadequados de valores durante a atualização de configurações, o que pode permitir que usuários com privilégios elevados realizem ataques de Cross-Site Scripting. **Recomendações** Para versões do plugin Video Lessons Manager para WordPress anteriores à 1.7.2, atualize para a versão 1.7.2 ou posterior. Para versões do plugin Video Lessons Manager Pro para WordPress anteriores à 3.5.9, atualize para a versão 3.5.9 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do plugin Forminator para WordPress anteriores à 1.15.4 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização e escapamento do rótulo do campo de e-mail, mesmo quando o `unfiltered html` está desativado. **Recomendações** Para versões anteriores à 1.15.4, atualize para a versão 1.15.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao rótulo do campo de e-mail para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin Quiz Tool Lite para WordPress, versões 2.3.15 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à falta de sanitização em vários campos de entrada usados para criar ou gerenciar questionários e outras opções de configuração, mesmo quando a funcionalidade `unfiltered html` está desativada. **Recomendações** Para as versões 2.3.15 e anteriores, atualize para uma versão posterior à 2.3.15 para resolver o problema. Como solução temporária, considere restringir o acesso ao gerenciamento de questionários e às opções de configuração para minimizar o risco de exploração. Evite usar os campos de entrada vulneráveis no plugin afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** As versões anteriores à 3.62 do plugin Qwizcards – online quizzes and flashcards para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à sanitização e ao escape inadequados de algumas configurações, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 3.62, atualize para a versão 3.62 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para usuários com privilégios elevados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.4.2 do plugin “The Restaurant Menu by MotoPress” para WordPress **Descrição** O problema diz respeito à falta de sanitização ou escapamento adequado das entradas ao criar novos itens de menu, o que pode permitir que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, mesmo quando a funcionalidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 2.4.2, atualize para a versão 2.4.2 ou posterior para resolver o problema. Como solução temporária, considere restringir a criação de novos itens de menu a usuários confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** As versões do plugin Modern Events Calendar Lite para WordPress anteriores à 5.22.3 **Descrição** O problema decorre da falha do plugin em sanitizar ou escapar adequadamente os valores definidos por usuários com acesso para ajustar configurações no wp-admin. Isso poderia potencialmente levar a problemas de segurança, embora não sejam fornecidos detalhes específicos sobre a natureza desses problemas. **Recomendações** Para versões anteriores à 5.22.3, atualize para a versão 5.22.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de ajuste de configurações no wp-admin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Reactions Lite para WordPress anteriores à 1.3.6 **Descrição** A vulnerabilidade permite que usuários com acesso suficiente injetem cargas XSS nas páginas /wp-admin/ devido à sanitização inadequada de entradas nessas páginas. **Recomendações** Para versões do plugin WP Reactions Lite para WordPress anteriores à 1.3.6, atualize para a versão 1.3.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Easy Download Manager e o plugin File Sharing Plugin with frontend file upload – a better Media Library — Shared Files para WordPress, versões anteriores à 1.6.57 Descrição: O problema está relacionado ao fato de o plugin não sanitizar e escapar algumas de suas configurações antes de exibi-las nos atributos, o que pode levar a vulnerabilidades de Stored Cross-Site Scripting. Recomendações: Para versões anteriores à 1.6.57, atualize para a versão 1.6.57 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin LearnPress para WordPress anteriores à 4.1.3.1 **Descrição** O problema diz respeito à sanitização ou escape inadequados de várias entradas nas configurações do curso. Isso poderia permitir que usuários com privilégios elevados realizassem ataques de Cross-Site Scripting quando a capacidade `unfiltered html` estiver desativada. **Recomendações** Para versões anteriores à 4.1.3.1, atualize para a versão 4.1.3.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do plugin Tutor LMS para WordPress anteriores à 1.9.9 Descrição: A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, pois o plugin não escapa algumas de suas configurações antes de exibi-las em atributos, mesmo quando a capacidade unfiltered html está desativada. Recomendações: Para versões anteriores à 1.9.9, atualize para a versão 1.9.9 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Appointment Hour Booking para WordPress anteriores à 1.3.17 **Descrição** O problema decorre da falha do plugin em sanitizar adequadamente os valores ao criar novos calendários. Isso pode levar a riscos potenciais de segurança. **Recomendações** Para versões anteriores à 1.3.17, atualize para a versão 1.3.17 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Chained Quiz para WordPress anteriores à 1.2.7.2 **Descrição** O problema decorre da falha do plugin em sanitizar ou escapar adequadamente as entradas em suas configurações. Isso pode levar a riscos potenciais de segurança. **Recomendações** Para versões anteriores à 1.2.7.2, atualize para a versão 1.2.7.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Quiz And Survey Master para WordPress anteriores à 7.3.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting (XSS), pois a configuração “Quiz Url Slug” não é escapada antes de ser exibida em algumas páginas, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 7.3.2, atualize para a versão 7.3.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração “Quiz Url Slug” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** As versões do plugin Modern Events Calendar Lite para WordPress anteriores à 5.22.2 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, pois o plugin não escapa parte de suas configurações antes de exibi-las em atributos, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para versões anteriores à 5.22.2, atualize para a versão 5.22.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das configurações do plugin para minimizar o risco de exploração.