Utkarsh Agrawal

**Name of the Vulnerable Software and Affected Versions** Orders Tracking for WooCommerce WordPress plugin version 1.2.5 and earlier **Description** The issue allows high privilege users with the manage woocommerce capability to access any file on the web server via a Traversal attack when importing a CSV file, due to the lack of validation of the `file url` parameter. The content retrieved is limited to the first line of the file. **Recommendations** For versions prior to 1.2.6, update to version 1.2.6 or later to resolve the issue. As a temporary workaround, consider restricting access to the CSV import feature to minimize the risk of exploitation. Avoid using the `file url` parameter in the affected import functionality until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões do WP Event Manager anteriores à 3.1.28 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque a função de pesquisa no plugin WP Event Manager não sanitiza e não escapa adequadamente sua saída, que é então refletida em um atributo no painel de eventos. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 3.1.28, atualize para a versão 3.1.28 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de eventos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Themify para WordPress anteriores à 1.3.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o parâmetro `page` não é devidamente sanitizado e escapado antes de ser exibido novamente em um atributo na página de administração. **Recomendações** Para versões anteriores à 1.3.8, atualize para a versão 1.3.8 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin MailerLite para WordPress anteriores à 1.5.4 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido na página. **Recomendações** Para versões anteriores à 1.5.4, atualize para a versão 1.5.4 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP 2FA para WordPress anteriores à 2.2.1 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido novamente em uma página de administração. **Recomendações** Para versões do plugin WP 2FA para WordPress anteriores à 2.2.1, atualize para a versão 2.2.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.9.9 do plugin WPC Smart Wishlist para WooCommerce do WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser retornado em um atributo por meio de uma ação AJAX. **Recomendações** Para versões anteriores à 2.9.9, atualize para a versão 2.9.9 ou posterior para resolver o problema.