Timomangcut

**Nome do Software Vulnerável e Versões Afetadas** Facebook for WooCommerce versões anteriores a 3.7.1 **Description** Existe um problema de Redirecionamento Aberto (Open Redirect), que é um tipo de vulnerabilidade que permite que uma aplicação redirecione um usuário para um site externo não confiável. Isso pode ser utilizado para facilitar ataques de phishing. **Recommendations** Atualize para uma versão posterior a 3.7.0.

**Nome do Software Vulnerável e Versões Afetadas** Duplicate Page and Post versões anteriores a 2.9.6 **Descrição** A neutralização inadequada de elementos especiais usados em um comando SQL permite a ocorrência de Blind SQL Injection. O Blind SQL Injection é um tipo de ataque em que a aplicação não retorna os resultados da consulta SQL diretamente na resposta HTTP, mas o invasor ainda pode inferir dados observando a resposta da aplicação a consultas específicas. **Recomendações** Atualize para uma versão posterior a 2.9.5.

**Nome do Software Vulnerável e Versões Afetadas** Advanced Custom Fields: Font Awesome Field versões anteriores a 5.0.3 **Description** A neutralização inadequada de entrada durante a geração de páginas web permite o Cross-site Scripting (XSS) armazenado, uma condição em que scripts maliciosos são armazenados permanentemente no servidor alvo e executados no navegador de usuários que visualizam a página afetada. **Recommendations** Atualize para uma versão posterior a 5.0.2.

**Nome do Software Vulnerável e Versões Afetadas** Adminimize versões anteriores a 1.11.12 **Descrição** Uma falha de autorização ausente no WP Media Adminimize permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. Trata-se de uma falha de controle de acesso interrompido, na qual o sistema não verifica adequadamente se um usuário possui as permissões necessárias para realizar uma ação. **Recomendações** Atualize para uma versão posterior a 1.11.11.

**Nome do Software Vulnerável e Versões Afetadas** DearFlip versões anteriores a 2.4.28 **Description** Uma falha de autorização ausente no DearHive DearFlip permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. Trata-se de uma falha de controle de acesso interrompido onde o sistema não verifica adequadamente se um usuário possui as permissões necessárias para realizar uma ação. **Recommendations** Atualize para uma versão posterior a 2.4.27.

**Nome do Software Vulnerável e Versões Afetadas** The Post Grid versões anteriores a 7.9.3 **Descrição** Uma falha de autorização ausente permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize para uma versão posterior a 7.9.2.

**Nome do Software Vulnerável e Versões Afetadas** TaxoPress versões anteriores a 3.44.1 **Descrição** A neutralização inadequada de elementos especiais usados em um comando SQL permite a ocorrência de Blind SQL Injection. Isso ocorre no componente simple-tags, onde um invasor pode enviar consultas SQL especialmente criadas para o banco de dados para recuperar informações sem que a aplicação retorne os resultados diretamente na resposta. **Recomendações** Atualize para uma versão posterior à 3.44.0.

**Nome do Software Vulnerável e Versões Afetadas** StellarWP Image Widget versões anteriores a 4.4.12 **Descrição** A neutralização inadequada de entradas durante a geração de páginas web no image-widget permite o Cross-site Scripting (XSS) Armazenado, uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo e executados no navegador de usuários que visualizam a página afetada. **Recomendações** Atualize para uma versão posterior a 4.4.11.

**Name of the Vulnerable Software and Affected Versions** Extend Themes Kubio AI Page Builder versions through 2.7.0 **Description** The software contains a flaw related to improper input handling during web page generation, leading to a potential Cross-site Scripting (XSS) issue. Specifically, the vulnerability allows for Stored XSS attacks. The issue impacts the way user-supplied data is processed and displayed, potentially enabling an attacker to inject malicious scripts into web pages viewed by other users. **Recommendations** Update Extend Themes Kubio AI Page Builder to a version later than 2.7.0.

**Name of the Vulnerable Software and Affected Versions** Advanced Product Fields (Product Addons) for WooCommerce versions through 1.6.18 **Description** An incorrect access control configuration can be exploited, leading to a missing authorization issue in Advanced Product Fields (Product Addons) for WooCommerce. This allows unauthorized access. **Recommendations** Update Advanced Product Fields (Product Addons) for WooCommerce to a version newer than 1.6.18.

**Name of the Vulnerable Software and Affected Versions** Janis Elsts Admin Menu Editor versions through 1.14.1 **Description** A Cross-Site Request Forgery (CSRF) issue exists in Janis Elsts Admin Menu Editor. This allows attackers to potentially perform actions on behalf of authenticated users without their knowledge. The issue affects the `admin-menu-editor` component. **Recommendations** Versions prior to and including 1.14.1 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** WP Abstracts versões até 2.7.4 **Descrição** O software contém uma falha relacionada ao controle inadequado de nome de arquivo para declarações include/require, especificamente uma vulnerabilidade de Inclusão de Arquivo Local (LFI) em PHP. Isso permite a inclusão de arquivos locais. **Recomendações** Atualize o WP Abstracts para uma versão superior à 2.7.4.

Name of the Vulnerable Software and Affected Versions: Cloud SAML SSO - Single Sign On Login versions through 1.0.18 Description: The software contains an Improper Control of Filename for Include/Require Statement, also known as a PHP Remote File Inclusion issue. This allows for PHP Local File Inclusion. Recommendations: Update Cloud SAML SSO - Single Sign On Login to a version later than 1.0.18.

Nome do Software Vulnerável e Versões Afetadas: Versões do WP Links Page até a 4.9.6 Descrição: O software contém uma neutralização inadequada de elementos especiais usados em um comando SQL, o que permite injeção de SQL. Recomendações: Atualize o WP Links Page para uma versão superior à 4.9.6.

Nome do Software Vulnerável e Versões Afetadas: Versões do Content Egg n/a até 7.0.0 Descrição: A desserialização de dados não confiáveis no keywordrush Content Egg permite a injeção de objetos. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Printcart Web to Print Product Designer para WooCommerce versões anteriores à 2.4.0 Descrição: O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso possibilita a Injeção de SQL, que pode ser explorada por atacantes. É necessária uma ação imediata para proteger contra ameaças cibernéticas. Recomendações: Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 ou superior para corrigir o problema de Injeção de SQL. Como solução temporária, considere restringir o acesso a elementos sensíveis do banco de dados para minimizar o risco de exploração. Evite utilizar dados fornecidos pelo usuário em comandos SQL até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: WP Optimize By xTraffic versões até a 5.1.6 Descrição: A questão está relacionada à Desserialização de Dados Não Confiáveis, o que permite Injeção de Objetos. Recomendações: Para versões até a 5.1.6, atualize para uma versão superior à 5.1.6 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação.

Nome do Software Vulnerável e Versões Afetadas: Versões do SERPed.net n/a até 4.6 Descrição: O problema está relacionado a um Controle Impróprio de Nome de Arquivo para Declaração Include/Require em Programa PHP, também conhecido como 'Inclusão Remota de Arquivos PHP', que permite a Inclusão Local de Arquivos PHP. Este é um tipo de vulnerabilidade de segurança que pode ser explorada pela manipulação do parâmetro de nome de arquivo em declarações include ou require em programas PHP, potencialmente levando à execução de código arbitrário ou à divulgação de informações sensíveis. Recomendações: Para as versões do SERPed.net n/a até 4.6, considere restringir o acesso às declarações include ou require para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, revise e valide todos os nomes de arquivos utilizados em declarações include ou require para prevenir possível manipulação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wpdistillery Navigation Tree Elementor versões 1.0.1 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL, especificamente Neutralização Imprópria de Elementos Especiais usados em um Comando SQL. Isso possibilita uma Injeção de SQL Cega, que pode ser explorada. Não há informações fornecidas sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais onde essa questão foi explorada. **Recomendações** Para o wpdistillery Navigation Tree Elementor versões 1.0.1 e anteriores, atualize para uma versão que contenha uma correção para este problema, já que nenhuma solução alternativa ou medida de mitigação específica é fornecida nas descrições fornecidas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WpExperts Hub Woocommerce Partial Shipment versões n/a até 3.2 **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de Injeção de SQL. **Recomendações** Para as versões n/a até 3.2, atualize para uma versão que contenha uma correção para este problema para prevenir ataques de Injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.