Viktor Markopoulos

**Nome do software vulnerável e versões afetadas** As versões do plugin SP Project & Document Manager para WordPress anteriores à 4.58 **Descrição** A vulnerabilidade permite que agentes mal-intencionados acessem arquivos confidenciais de outros usuários devido a um caminho facilmente adivinhável usado para armazenar arquivos de usuário. **Recomendações** Para versões anteriores à 4.58, atualize para a versão 4.58 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** As versões do plugin SP Project & Document Manager para WordPress anteriores à 4.22 **Descrição** A vulnerabilidade permite que os usuários enviem arquivos; no entanto, o plugin tenta impedir o envio de arquivos php e outros semelhantes que possam ser executados no servidor, verificando a extensão do arquivo. No entanto, descobriu-se que arquivos php ainda podiam ser enviados alterando-se a maiúscula/minúscula da extensão do arquivo, por exemplo, de “php” para “pHP”. **Recomendações** Para versões anteriores à 4.22, atualize para a versão 4.22 ou posterior para resolver o problema. Como solução temporária, considere restringir o envio de arquivos para evitar possíveis explorações até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Weekly Schedule para WordPress anteriores à 3.4.3 **Descrição** O problema diz respeito ao campo de entrada “Nome da programação” nas opções gerais do plugin, que não sanitizava adequadamente os dados inseridos. Isso permitia que um usuário injetasse código JavaScript usando as tags HTML <script>, causando uma vulnerabilidade de XSS armazenado. **Recomendações** Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao campo de entrada “Nome da programação” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** AcyMailing (versões afetadas não especificadas) **Descrição** O problema ocorre ao realizar uma assinatura usando o AcyMailing, quando o parâmetro `redirect` não é devidamente sanitizado. Um invasor pode explorar essa falha transformando uma solicitação POST em uma solicitação GET, o que lhe permite criar um link com uma página de destino potencialmente maliciosa que pode ser enviada à vítima. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.