Und3Sc0N0C1D0

**Nome do Software Vulnerável e Versões Afetadas** Videos sync PDF versão 1.7.4 **Descrição** Um invasor autenticado pode injetar scripts maliciosos através do painel de opções do plugin. Isso ocorre devido à falta de sanitização nos parâmetros `nom`, `pdf`, `mp4`, `webm` e `ogg`. Ao utilizar payloads como manipuladores de eventos autofocus onfocus, um invasor pode executar JavaScript arbitrário quando administradores visualizam ou editam as configurações de vídeo. Trata-se de um problema de cross-site scripting armazenado, onde o script malicioso é guardado permanentemente no servidor e executado no navegador da vítima. **Recomendações** Como medida paliativa temporária, restrinja o acesso ao painel de opções do plugin ou evite modificar os parâmetros `nom`, `pdf`, `mp4`, `webm` e `ogg` até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WordPress 3dady real-time web stats plugin versão 1.0 **Descrição** Um problema de cross-site scripting armazenado permite que atacantes autenticados injetem JavaScript malicioso explorando campos de entrada não sanitizados. Atacantes podem inserir payloads de JavaScript nos campos `dady input text` ou `dady2 input text` no painel de opções do plugin para executar código arbitrário quando a página é visualizada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Acronis Cyber Protect 16 anteriores à compilação 37391 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) no campo de pesquisa dos nós de armazenamento. Esse problema permite a execução de scripts maliciosos no contexto do aplicativo afetado. **Recomendações** Para as versões do Acronis Cyber Protect 16 anteriores à compilação 37391, atualize para a compilação 37391 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao campo de pesquisa dos nós de armazenamento até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Acronis Cyber Protect 16 anteriores à compilação 37391 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) armazenada no nome da unidade, permitindo uma possível exploração. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões do Acronis Cyber Protect 16 anteriores à compilação 37391, atualize para uma versão posterior à compilação 37391 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao campo de nome da unidade para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Acronis Cyber Protect 15 versions before build 35979 **Description** The issue is related to a stored cross-site scripting (XSS) vulnerability in the protection plan name, which can be exploited by a remote attacker to perform cross-site scripting attacks. This vulnerability is associated with the failure to take measures to protect the structure of web pages. **Recommendations** For Acronis Cyber Protect 15 versions before build 35979, update to a version after build 35979 to resolve the issue. As a temporary workaround, consider restricting access to the protection plan name feature until a patch is available.

**Name of the Vulnerable Software and Affected Versions** SolarWinds Platform (affected versions not specified) **Description** The issue allows a remote adversary with a valid SolarWinds Platform account to append URL parameters to inject passive HTML, due to incorrect input neutralization. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Call Now Accessibility Button WordPress plugin versions prior to 1.1 **Description** The issue allows high-privilege users to perform Stored Cross-Site Scripting (XSS) attacks due to improper sanitization of some settings. This can occur even when the unfiltered html capability is disallowed, such as in a multisite setup. **Recommendations** For versions prior to 1.1, update to version 1.1 or later to resolve the issue. As a temporary workaround, consider restricting access to the plugin's settings to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Aajoda Testimonials WordPress plugin versions prior to 2.2.2 **Description** The issue is related to the lack of sanitization and escaping of some settings in the Aajoda Testimonials WordPress plugin, which could allow high-privilege users, such as admins, to perform Stored Cross-Site Scripting attacks. This is possible even when the unfiltered html capability is disallowed, for example, in a multisite setup. The vulnerability may allow a remote attacker to conduct cross-site scripting attacks. **Recommendations** For versions prior to 2.2.2, update to version 2.2.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SolarWinds Platform (affected versions not specified) **Description** The issue allows a remote adversary with a valid SolarWinds Platform account to inject HTML by appending URL parameters. This is due to the Incorrect Input Neutralization Vulnerability. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do plugin Chat Bubble para WordPress anteriores à 2.3 **Descrição** A vulnerabilidade permite que invasores não autenticados insiram cargas de Stored Cross-Site Scripting em alguns parâmetros de contato, que serão acionadas quando um administrador visualizar a mensagem de contato relacionada. Isso ocorre porque o plugin não sanitiza nem escapa esses parâmetros. **Recomendações** Para versões anteriores à 2.3, atualize para a versão 2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de visualização de mensagens de contato para administradores até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do related-posts-for-wp anteriores à 2.1.3 **Descrição** O problema está relacionado a Cross-site Scripting (XSS) - Stored, que afeta o repositório GitHub barrykooij/related-posts-for-wp. **Recomendações** Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Multi-Scheduler versão 1.0.0 **Descrição** O problema diz respeito a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) nos formulários apresentados pelo plugin, o que pode levar à exclusão de registros, como usuários, quando um ID específico é conhecido. **Recomendações** Para a versão 1.0.0, considere desativar os formulários apresentados pelo plugin Multi-Scheduler até que uma correção esteja disponível para evitar a possível exploração da vulnerabilidade CSRF.