Vess Razz

**Nome do software vulnerável e versões afetadas** Plugin WP HTML Author Bio para WordPress, versões 1.2.0 e anteriores **Descrição** A vulnerabilidade permite que usuários com uma função tão baixa quanto a de autor realizem ataques de Cross-Site Scripting contra outros usuários, injetando código JavaScript malicioso em sua biografia, o qual é executado quando alguém visita uma publicação feita por esse usuário. Isso poderia potencialmente levar à escalada de privilégios quando um administrador visualiza a publicação relacionada. **Recomendações** Para as versões 1.2.0 e anteriores do plugin WP HTML Author Bio para WordPress, considere desativar o recurso de biografia para os usuários até que uma correção esteja disponível para impedir a execução de código JavaScript malicioso. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Frontend Uploader para WordPress, versões 1.3.2 e anteriores **Descrição** A vulnerabilidade permite que usuários não autenticados enviem arquivos HTML maliciosos contendo JavaScript por meio do formulário do plugin. Esses arquivos maliciosos podem ser executados quando acessados diretamente, o que pode causar problemas de segurança. **Recomendações** Para as versões 1.3.2 e anteriores, atualize para uma versão que impeça o envio de arquivos HTML através do formulário do plugin para mitigar o risco. Como solução temporária, considere restringir o acesso ao recurso de envio de arquivos até que uma correção esteja disponível.