Xbz0N

**Nome do software vulnerável e versões afetadas** Versões do plugin WooCommerce Customers Manager para WordPress anteriores à 29.7 **Descrição** O problema está relacionado a uma injeção de SQL que ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser utilizado em uma instrução SQL. Isso pode ser explorado por usuários com a função de Assinante+. **Recomendações** Para versões anteriores à 29.7, atualize o plugin WooCommerce Customers Manager para WordPress para a versão 29.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para usuários com a função de Assinante+ até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin “Burst Statistics – Privacy-Friendly Analytics for WordPress”, versão 1.5.3 **Descrição** O problema surge devido à escapação insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada nas consultas SQL, permitindo que invasores autenticados com acesso de editor ou superior acrescentem consultas SQL adicionais às já existentes. Isso pode potencialmente levar ao acesso não autorizado a informações confidenciais do banco de dados. A vulnerabilidade é explorada por meio de vários parâmetros JSON no endpoint “/wp-json/burst/v1/data/compare”, incluindo `browser`, `device`, `page id`, `page url`, `platform` e `referrer`. **Recomendações** Para a versão 1.5.3, como solução temporária, considere desativar o acesso ao endpoint “/wp-json/burst/v1/data/compare” até que um patch esteja disponível. Restrinja o acesso aos parâmetros afetados, incluindo `browser`, `device`, `page id`, `page url`, `platform` e `referrer`, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** EasyNAS version 1.1.0 **Description** A critical vulnerability has been found in the function system of the file /backup.pl, leading to os command injection. The manipulation can be launched remotely, and the exploit has been disclosed to the public. This issue arises due to the lack of measures to neutralize special elements used in the operating system command. As a result, an attacker acting remotely can execute arbitrary commands. **Recommendations** For EasyNAS version 1.1.0, it is recommended to upgrade the affected component to resolve the issue. As a temporary workaround, consider disabling the /backup.pl file until a patch is available. Restrict access to the function system of the file /backup.pl to minimize the risk of exploitation.