Tommaso Gregori

**Nome do Software Vulnerável e Versões Afetadas** Jenkins Pipeline: Groovy Libraries Plugin versões anteriores a 797.v90ea a 9b e45a 0 **Description** O plugin não proíbe links simbólicos em bibliotecas compartilhadas. Isso permite que atacantes que controlem o conteúdo de uma biblioteca usada por um trabalho de Pipeline leiam arquivos arbitrários no sistema de arquivos do controlador Jenkins. **Recommendations** Atualize para uma versão posterior a 797.v90ea a 9b e45a 0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Password Reset with Code for WordPress REST API anteriores à 0.0.17 **Descrição** O plugin não utiliza algoritmos criptograficamente seguros para gerar códigos de Senha de Uso Único (OTP), o que poderia permitir a tomada de contas. **Recomendações** Atualize o plugin Password Reset with Code for WordPress REST API para a versão 0.0.17 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Qwizcards | plugin do WordPress para questionários e flashcards online, versões até a 3.9.4 **Descrição** O plugin do WordPress não sanitiza e escapa adequadamente o parâmetro ` stylesheet` antes de exibi-lo, resultando em uma vulnerabilidade de Cross-Site Scripting Refletido. Isso poderia potencialmente ser usado contra usuários com privilégios elevados, como administradores. **Recomendações** Atualize o Qwizcards | plugin do WordPress para questionários e flashcards online para uma versão posterior à 3.9.4.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin Hostel para WordPress anteriores à 1.1.5.8 Descrição: O plugin Hostel para WordPress não sanitiza nem escapa um parâmetro antes de exibi-lo na página, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido. Isso pode ser utilizado contra usuários com privilégios elevados, como administradores. Recomendações: Atualize o plugin Hostel para WordPress para a versão 1.1.5.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Broadstreet para WordPress anteriores à 1.51.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido. Isso ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com privilégios elevados, como administradores. **Recomendações** Para versões anteriores à 1.51.8, atualize para a versão 1.51.8 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.0.72 e anteriores do plugin Gearside Developer Dashboard para WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting Refletido. Ocorre porque um `parâmetro` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso pode ser explorado contra usuários com altos privilégios, como administradores. **Recomendações** Para as versões 1.0.72 e anteriores do plugin Gearside Developer Dashboard para WordPress, atualize para uma versão que sanitiza e escapa corretamente os parâmetros para prevenir Cross-Site Scripting Refletido. Como medida de contorno temporária, considere restringir o acesso à funcionalidade do plugin para minimizar o risco de exploração.