Yamato Kamioka

**Nome do software vulnerável e versões afetadas** Plugin demon image annotation para versões do WordPress até a 4.7, inclusive **Descrição** O problema está relacionado a Cross-Site Request Forgery devido à falta de validação de nonce no arquivo ~/includes/settings.php. Isso permite que invasores não autenticados modifiquem as configurações do plugin e injetem scripts maliciosos via uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação específica. **Recomendações** Para o plugin de anotação de imagens demon para versões do WordPress até a 4.7, inclusive, considere desativar o plugin até que uma correção esteja disponível para impedir a modificação das configurações do plugin e a injeção de scripts web maliciosos. Restrinja o acesso ao arquivo ~/includes/settings.php para minimizar o risco de exploração. Evite realizar ações que possam ser acionadas por uma solicitação falsificada, como clicar em links suspeitos, até que o problema seja resolvido.