Stefan Bogdanovic

**Nome do Software Vulnerável e Versões Afetadas** O plugin Image Source Control Lite – Show Image Credits and Captions para WordPress, versões até a 2.28.0 inclusive. **Descrição** O plugin está vulnerável a Cross-Site Scripting Refletido via o parâmetro `path` devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executados caso consigam enganar um usuário para realizar uma ação, como clicar em um link. **Recomendações** Para as versões até a 2.28.0 inclusive, considere atualizar para uma versão mais recente que corrija o problema, pois não há nenhuma solução de contorno específica fornecida para essas versões. Como uma solução de contorno temporária, considere restringir o acesso ao parâmetro `path` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Kubio AI Page Builder para WordPress versões até e incluindo a 2.3.5 **Descrição** A questão está relacionada ao Cross-Site Scripting Refletido devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas através do parâmetro `message`, os quais podem ser executados se um usuário for induzido a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 2.3.5, considere desativar o parâmetro `message` até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão superior à 2.3.5 assim que disponível.