Thuramoemyint

**Nome do software vulnerável e versões afetadas** Yasr – Yet Another Stars Rating, plugin do WordPress, versões <= 2.9.9 **Descrição** Foi detectada uma vulnerabilidade de Cross-Site Scripting (XSS) relacionada ao parâmetro `source`. **Recomendações** Para as versões <= 2.9.9 do plugin Yasr – Yet Another Stars Rating para WordPress, atualize para uma versão superior à 2.9.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `source` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do plugin “The Photo Gallery by 10Web” para WordPress anteriores à 1.5.68 Descrição: O problema está relacionado a um ataque de Cross-Site Scripting (XSS) refletido por meio dos parâmetros GET `bwg album breadcrumb 0` e `shortcode id` passados para a ação AJAX `bwg frontend data`. Recomendações: Para versões anteriores à 1.5.68, atualize para a versão 1.5.68 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX `bwg frontend data` para minimizar o risco de exploração. Evite usar os parâmetros `bwg album breadcrumb 0` e `shortcode id` na ação AJAX afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** The Photo Gallery by 10Web – Plugin do WordPress para galeria de imagens otimizada para dispositivos móveis, versões anteriores à 1.5.69 **Descrição** O problema diz respeito a falhas de Reflected Cross-Site Scripting (XSS). A vulnerabilidade pode ser explorada por meio dos parâmetros GET `gallery id`, `tag`, `album id` e ` id` passados para a ação AJAX “bwg frontend data”. Essa ação é acessível tanto para usuários não autenticados quanto para usuários autenticados. **Recomendações** Para versões anteriores à 1.5.69, atualize para a versão 1.5.69 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX “bwg frontend data” para minimizar o risco de exploração. Evite usar os parâmetros `gallery id`, `tag`, `album id` e ` id` no endpoint AJAX afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin NextGEN Gallery Pro para WordPress anteriores à 3.1.11 **Descrição** O problema diz respeito ao módulo de comércio eletrônico do plugin NextGEN Gallery Pro para WordPress. Envolve uma ação que chama `get cart items` via `photocrati ajax`, permitindo a injeção de JavaScript malicioso através de `settings[shipping address][name]`. **Recomendações** Para versões anteriores à 3.1.11, atualize para a versão 3.1.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `photocrati ajax` para minimizar o risco de exploração. Evite usar a variável `settings[shipping address][name]` no endpoint da API afetado até que o problema seja resolvido.