Trung Hieu

**Name of the Vulnerable Software and Affected Versions** LotekMedia Popup Form plugin for WordPress versions up to and including 1.0.6 **Description** The LotekMedia Popup Form plugin for WordPress is susceptible to Stored Cross-Site Scripting. This is due to inadequate input sanitization and output escaping in the plugin settings. An authenticated attacker with Administrator-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the frontend of the site where the popup is displayed. **Recommendations** Update the LotekMedia Popup Form plugin to a version beyond 1.0.6.

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Calendar do WordPress anteriores à 1.3.17 **Descrição** O plugin Calendar para WordPress está suscetível a Cross-Site Scripting Armazenado. Isso se deve à sanitização de entrada e escape de saída insuficientes no parâmetro `event desc`. Atacantes autenticados com acesso de nível de Contribuidor ou superior podem injetar scripts web arbitrários em páginas. Esses scripts serão executados quando um usuário acessar a página injetada, desde que um administrador tenha habilitado usuários de privilégios inferiores para gerenciar eventos do calendário através das configurações do plugin. **Recomendações** Atualize o plugin Calendar para a versão 1.3.17 ou posterior.