Vilaysone Chanthavong

**Name of the Vulnerable Software and Affected Versions** Image Source Control Lite – Show Image Credits and Captions versões anteriores a 3.9.2 **Description** A sanitização de entrada e a escape de saída insuficientes no campo de anexo 'Image Source' permitem que atacantes autenticados com nível de acesso de Autor ou superior injetem scripts web arbitrários. Esses scripts são executados sempre que um usuário acessa uma página afetada. Stored Cross-Site Scripting é uma falha onde um script malicioso é armazenado permanentemente no servidor alvo. **Recommendations** Atualize para uma versão posterior a 3.9.1.

**Name of the Vulnerable Software and Affected Versions** The Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts versões anteriores a 3.0.13 **Description** O plugin é suscetível a PHP Object Injection devido à desserialização de entradas não confiáveis na função `import shortcodes()`. Isso permite que atacantes autenticados com acesso de nível Administrador ou superior injetem um Objeto PHP. Este problema requer que uma POP chain (uma sequência de gadgets usada para atingir um objetivo específico durante a desserialização) esteja presente em outro plugin ou tema instalado para ter impacto. Se tal cadeia existir, poderá permitir a exclusão de arquivos arbitrários, a recuperação de dados sensíveis ou a execução de código. **Recommendations** Atualize para uma versão posterior a 3.0.12.

Name of the Vulnerable Software and Affected Versions O plugin Quick Playground para WordPress versões até e incluindo 1.3.1 Description O plugin Quick Playground para WordPress é suscetível à Execução Remota de Código devido a verificações de autorização insuficientes em endpoints REST API. Esses endpoints expõem um código de sincronização e permitem o upload arbitrário de arquivos. Isso permite que invasores não autenticados recuperem o código de sincronização, carreguem arquivos PHP usando técnicas de travessia de caminho e, finalmente, alcancem a execução remota de código no servidor. Recommendations Atualize o plugin Quick Playground para uma versão posterior a 1.3.1.

**Name of the Vulnerable Software and Affected Versions** Advance Block Extend plugin for WordPress versions through 1.0.4 **Description** The Advance Block Extend plugin for WordPress has a Stored Cross-Site Scripting issue. This is due to insufficient input sanitization and output escaping in the TitleColor block attribute within the Latest Posts Gutenberg block. Authenticated attackers with Contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the affected page. **Recommendations** Update the Advance Block Extend plugin to a version later than 1.0.4.

**Name of the Vulnerable Software and Affected Versions** Frontis Blocks versions prior to 1.1.7 **Description** The Frontis Blocks plugin for WordPress is susceptible to Server-Side Request Forgery. This is caused by inadequate restriction of the `url` parameter within the `template proxy` function. This allows unauthenticated attackers to initiate web requests to arbitrary locations from the web application. The affected API endpoints are '/template-proxy/' and '/proxy-image/'. **Recommendations** Update Frontis Blocks to version 1.1.7 or later.