Wackydawg

**Nome do Software Vulnerável e Versões Afetadas** CBX 5 Star Rating & Review versões anteriores a 1.0.8 **Descrição** O plugin CBX 5 Star Rating & Review para WordPress está sujeito a Reflected Cross-Site Scripting (XSS), uma falha em que a aplicação inclui dados não confiáveis em uma página web sem a devida validação. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes no parâmetro `page`. Atacantes não autenticados podem explorar isso injetando scripts web arbitrários em páginas, que são executados quando um administrador é enganado para clicar em um link malicioso. **Recomendações** Atualize o plugin para uma versão posterior a 1.0.7. Como medida paliativa temporária, restrinja ou monitore o uso do parâmetro `page` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** VatanSMS WP SMS versões anteriores a 1.02 **Descrição** O plugin VatanSMS WP SMS para WordPress contém um problema de Reflected Cross-Site Scripting causado por sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, que são executados se um administrador for enganado a clicar em um link malicioso. O problema é acionado através do parâmetro `page`. **Recomendações** Atualize para uma versão posterior a 1.01. Como medida paliativa temporária, restrinja ou sanitize a entrada recebida pelo parâmetro `page` para evitar a execução de scripts arbitrários.

**Name of the Vulnerable Software and Affected Versions** wpForo Forum versões anteriores a 3.0.6 **Description** O plugin está sujeito à exclusão arbitrária de arquivos. Isso ocorre porque o método `Members::update()` não valida ou restringe valores para campos de perfil personalizados do tipo arquivo, permitindo que usuários autenticados armazenem caminhos arbitrários. Além disso, a função de sanitização `wpforo fix upload dir()` dentro de `ucf file delete()` apenas remapeia caminhos que correspondem a um padrão específico antes de serem passados para a função `unlink()`. Atacantes autenticados com nível de acesso de assinante ou superior podem explorar isso para excluir arquivos arbitrários no servidor, o que pode levar à execução remota de código se arquivos críticos como 'wp-config.php' forem removidos. Este problema requer que o plugin addon wpForo - User Custom Fields esteja ativo. **Recommendations** Atualize para uma versão posterior a 3.0.5.

**Name of the Vulnerable Software and Affected Versions** Migrate Posts versions from n/a through 1.0 **Description** The issue is related to Improper Neutralization of Input During Web Page Generation, also known as Cross-site Scripting, allowing Reflected XSS. **Recommendations** For versions from n/a through 1.0, update to a version that fixes the Improper Neutralization of Input During Web Page Generation issue to prevent Reflected XSS attacks.