Ville Korhonen

**Nome do software vulnerável e versões afetadas: Versões anteriores à 4.1.7 do plugin Plus Addons for Elementor Page Builder para WordPress Descrição: A vulnerabilidade permite que agentes mal-intencionados contornem a autenticação, possibilitando que usuários não autenticados façam login como qualquer usuário, incluindo o administrador, bastando fornecer o nome de usuário correspondente. Além disso, permite a criação de contas com funções arbitrárias, como administrador. Isso pode ser explorado mesmo que o registro esteja desativado e o widget de login não esteja ativo. Recomendações: Para versões anteriores à 4.1.7, atualize para a versão 4.1.7 ou posterior para resolver o problema. Como solução temporária, considere desativar o widget de login e restringir o registro de usuários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do plugin WooCommerce Help Scout para WordPress anteriores à 2.9.1 Descrição: A vulnerabilidade permite que usuários não autenticados enviem quaisquer arquivos para o site, os quais, por padrão, serão armazenados na pasta wp-content/uploads/hstmp. Recomendações: Para versões anteriores à 2.9.1, atualize para a versão 2.9.1 ou posterior para resolver o problema.