Sudip Roy

**Name of the Vulnerable Software and Affected Versions** Frappe Learning versions 2.34.1 and below **Description** Frappe Learning does not adequately sanitize content uploaded in the profile bio. This allows for the execution of arbitrary scripts in the context of other users through malicious SVG files. **Recommendations** Versions prior to 2.34.1 should be updated.

**Nome do software vulnerável e versões afetadas** O plugin “The AI Engine: Chatbots, Generators, Assistants, GPT 4 and more!” para versões do WordPress até a 2.2.0, inclusive **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting (XSS) armazenado por meio dos dados de chat de IA quando o rastreamento de discussões está ativado, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários em páginas, que serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até a 2.2.0, inclusive, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saídas. Como solução temporária, considere desativar o rastreamento de discussões para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “The AI Engine: Chatbots, Generators, Assistants, GPT 4 and more!” para versões do WordPress até a 2.1.4, inclusive **Descrição** O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo na função `add image from url`. Isso permite que invasores autenticados com acesso de Editor ou superior façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código. **Recomendações** Para versões até a 2.1.4, inclusive, atualize para uma versão que inclua uma correção para a falta de validação do tipo de arquivo na função `add image from url`, a fim de impedir uploads arbitrários de arquivos. Como solução temporária, considere restringir o acesso à função `add image from url` para usuários com acesso de Editor ou superior até que um patch esteja disponível.