Vijaysimha

**Nome do software vulnerável e versões afetadas** Hustle – plugin de marketing por e-mail, geração de leads, opt-ins e pop-ups para o WordPress, versões até e incluindo a 7.8.5 **Descrição** O problema está relacionado ao envio não autorizado de formulários devido à falta de uma verificação de permissão na função `submit form()`. Isso permite que invasores não autenticados enviem formulários não publicados. **Recomendações** Para versões até e incluindo a 7.8.5, considere desativar a função `submit form()` até que um patch esteja disponível para impedir envios não autorizados de formulários. Atualize para uma versão posterior à 7.8.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** O plugin The Hustle – Email Marketing, Lead Generation, Optins, Popups para o WordPress, versões até a 7.8.5, inclusive **Descrição** O problema está relacionado ao acesso não autorizado a dados devido à falta de uma verificação de permissão na função `preview module()`. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior visualizem formulários não publicados. **Recomendações** Para versões até a 7.8.5, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função `preview module()`. Como solução temporária, considere restringir o acesso à função `preview module()` para impedir a visualização não autorizada de formulários não publicados.

**Nome do software vulnerável e versões afetadas** Plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para versões do WordPress até a 1.36.0, inclusive **Descrição** O problema está relacionado a uma referência direta a objeto insegura, que permite que invasores não autenticados modifiquem os envios de questionários de outros usuários devido à falta de validação na chave `entry id`, controlada pelo usuário. Isso é possível por meio da função `submit quizzes()`. **Recomendações** Para versões até a 1.36.0, inclusive, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere desativar a função `submit quizzes()` até que um patch esteja disponível. Restrinja o acesso à chave `entry id` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para o WordPress, nas versões até a 1.35.1, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função `create module`. Isso permite que invasores não autenticados criem rascunhos de questionários por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.35.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função `create module`. Como solução temporária, considere restringir o acesso à funcionalidade de criação de questionários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para o WordPress, nas versões até a 1.35.1, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função `create module` do formulário personalizado. Isso permite que invasores não autenticados criem rascunhos de formulários por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.35.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função `create module`. Como solução temporária, considere restringir o acesso ao criador de formulários personalizados para minimizar o risco de exploração.