Taufique Noorani

Nome do Software Vulnerável e Versões Afetadas: Plugin Nokaut Offers Box para WordPress, versões 1.4.0 e anteriores Descrição: A falha permite que usuários com altos privilégios, como administradores, realizem ataques de Cross-Site Scripting (XSS) Armazenado. Isso é possível porque o plugin não sanitiza e escapa corretamente algumas de suas configurações. O ataque pode ocorrer mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite. Recomendações: Para as versões 1.4.0 e anteriores do plugin Nokaut Offers Box para WordPress, atualize para uma versão que sanitiza e escapa corretamente suas configurações para prevenir ataques de Cross-Site Scripting (XSS) Armazenado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: jwp-a11y WordPress plugin versions 4.1.7 and earlier Description: The issue allows high privilege users, such as admins, to perform Stored Cross-Site Scripting attacks. This is possible because some settings are not properly sanitised and escaped, and the attack can occur even when the unfiltered html capability is disallowed, for example in a multisite setup. Recommendations: For jwp-a11y WordPress plugin versions 4.1.7 and earlier, update to a version later than 4.1.7 to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Zalomení para WordPress versões 1.5 e anteriores **Descrição** A falha permite que usuários com privilégios elevados, como administradores, realizem ataques de Cross-Site Scripting Armazenado, mesmo quando a capacidade unfiltered html está desabilitada, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não sanitiza e escapa corretamente algumas de suas configurações. **Recomendações** Para as versões 1.5 e anteriores do plugin Zalomení para WordPress, considere desativar o plugin até que um patch esteja disponível para prevenir potenciais ataques de Cross-Site Scripting Armazenado. Restrinja o acesso às configurações do plugin para usuários com privilégios elevados para minimizar o risco de exploração.