Vaibhav Nitin Gaikwad

**Nome do software vulnerável e versões afetadas** Versões anteriores à 5.0.2 do plugin Mihdan: No External Links para WordPress **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa algumas de suas configurações. **Recomendações** Para versões anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de modificar as configurações do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin “The Good & Bad Comments” para WordPress, versão 1.0.0 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, devido à falha do plugin em sanitizar e escapar suas configurações. **Recomendações** Para o plugin The Good & Bad Comments para WordPress, versão 1.0.0, considere desativar o plugin até que uma correção esteja disponível para evitar possíveis ataques de Stored Cross-Site Scripting. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Autolinks para WordPress, versão 1.0.1 **Descrição** O problema está relacionado à ausência de uma verificação CSRF ao atualizar configurações e à falha na sanitização e no escape de entradas, o que poderia permitir que invasores executassem um ataque de Stored Cross-Site Scripting contra um administrador conectado por meio de um ataque CSRF. **Recomendações** Para o plugin Autolinks para WordPress versão 1.0.1, considere atualizar para uma versão mais recente que inclua uma verificação CSRF e a sanitização e escape adequados das entradas, a fim de prevenir ataques de Stored Cross-Site Scripting. Como solução temporária, restrinja o acesso à funcionalidade de atualização de configurações do plugin para minimizar o risco de exploração.