Vinay Bhuria

**Nome do software vulnerável e versões afetadas** Plugin Language Bar Flags para WordPress, versões 1.0.8 e anteriores **Descrição** O problema está relacionado à falta de proteção contra CSRF ao salvar configurações e à falha em sanitizar ou escapar as configurações ao gerar a barra de bandeiras no front-end. Isso poderia permitir que invasores fizessem com que um administrador conectado alterasse as configurações e definisse uma carga de Cross-Site Scripting, que seria executada no front-end para todos os usuários. **Recomendações** Para as versões 1.0.8 e anteriores do plugin Language Bar Flags para WordPress, considere desativar o plugin até que um patch esteja disponível para evitar possíveis explorações. Restrinja o acesso às configurações do plugin para minimizar o risco de alterações não autorizadas. Evite usar a funcionalidade do front-end do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Light Messages para WordPress, versão 1.0 **Descrição** O problema está relacionado à falta de uma verificação CSRF ao atualizar configurações e à falha na sanitização do Conteúdo da Mensagem, mesmo quando unfiltered html está desativado. Isso permite que um invasor faça com que um administrador conectado atualize as configurações para valores arbitrários e defina uma carga de Cross-Site Scripting no Conteúdo da Mensagem. A carga XSS pode ser acionada apenas no backend ou tanto no frontend quanto no backend, dependendo das opções definidas. **Recomendações** Para a versão 1.0, considere desativar a funcionalidade de atualização de configurações do plugin até que um patch esteja disponível para impedir atualizações arbitrárias e ataques de Cross-Site Scripting. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o campo Conteúdo da Mensagem nas configurações do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Custom Login Redirect para WordPress, versão 1.0.0 **Descrição** O problema está relacionado à ausência de uma verificação CSRF ao salvar configurações e à falha em sanitizar ou escapar as entradas do usuário antes de exibi-las na página. Isso leva a uma vulnerabilidade de Stored Cross-Site Scripting, que pode ser explorada por invasores. **Recomendações** Para o plugin Custom Login Redirect do WordPress, versão 1.0.0, considere desativar o plugin até que uma correção esteja disponível para evitar uma possível exploração. Restrinja o acesso à página de configurações para minimizar o risco de ataques de Stored Cross-Site Scripting. Evite usar o plugin até que o problema seja resolvido.