Swat

**Nome do Software Vulnerável e Versões Afetadas** Laiser Tag versões anteriores a 1.2.6 **Description** O plugin Laiser Tag para WordPress está sujeito a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana a vítima para executar ações indesejadas. Isso ocorre devido à validação de nonce ausente ou incorreta na função `addOptionsPageFields()`. Atacantes não autenticados podem explorar isso enganando um administrador do site para clicar em um link malicioso, permitindo que o invasor atualize as configurações do plugin, como a chave de API, a lista negra de tags, o limite de relevância, o tamanho do lote e as alternâncias de marcação. **Recommendations** Atualize o plugin para uma versão posterior a 1.2.5. Como medida paliativa temporária, restrinja o acesso à página de configurações do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Google Plus One Bottom versões anteriores a 0.0.3 **Description** O plugin Google Plus One Bottom para WordPress é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana a vítima para executar ações indesejadas. Isso ocorre devido à validação de nonce ausente ou incorreta na função `googlePlusOneAdmin()`. Atacantes não autenticados podem modificar as configurações do plugin armazenadas no banco de dados, especificamente as variáveis `plusone-lang`, `plusone-callback` e `plusone-url`, induzindo um administrador do site a clicar em um link malicioso. **Recommendations** Atualize o plugin para uma versão posterior a 0.0.2. Como medida paliativa temporária, restrinja o acesso à função `googlePlusOneAdmin()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Remove NoFollow Commenter URL versões anteriores a 1.1 **Description** O plugin está sujeito a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função `gmz comment settings save()`. Isso permite que atacantes não autenticados modifiquem a configuração de exibição de comentários enganando um administrador do site para clicar em um link malicioso. **Recommendations** Atualize para uma versão posterior a 1.0. Como medida paliativa temporária, restrinja o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** EmergencyWP – Dead Man's switch & legacy deliverance versões anteriores a 1.4.3 **Descrição** O plugin é suscetível a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função `form settings ui()`. Isso permite que atacantes não autenticados modifiquem as configurações do plugin enganando um administrador do site para clicar em um link malicioso. As configurações afetadas incluem a função de acesso mínima, a flag de exclusão de dados na desinstalação, valores de tempo de verificação de vida, o endereço de e-mail obrigatório, o ID da página de confirmação e formatos de data/hora. A validação de nonce é um mecanismo de segurança usado para garantir que uma solicitação foi enviada intencionalmente pelo usuário e não forjada por terceiros. **Recomendações** Atualize para uma versão posterior a 1.4.2. Como medida paliativa temporária, restrinja o acesso à função `form settings ui()` para minimizar o risco de exploração.