Yamil

**Nome do Software Vulnerável e Versões Afetadas** Plugin RSS Icon Widget para WordPress, versões até a 5.2, inclusive **Descrição** O problema está relacionado a Cross-Site Scripting Armazenado via o parâmetro `link color` devido à sanitização de entrada e escapamento de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o `unfiltered html` foi desativado. **Recomendações** Para versões até a 5.2, inclusive, considere desativar o parâmetro `link color` até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de injeção de scripts web arbitrários. Atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escapamento de saída quando disponível.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Toggles Shortcode and Widget para WordPress, versões até e incluindo a 1.14 **Descrição** O problema está relacionado a cross-site scripting (XSS) armazenado devido à sanitização de entrada e escape de saída insuficientes através do parâmetro `content`. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multisite e instalações onde o `unfiltered html` foi desativado. **Recomendações** Para versões até e incluindo a 1.14, atualize para uma versão posterior à 1.14 para resolver o problema. Como medida temporária, considere restringir o acesso ao parâmetro `content` no plugin afetado até que uma correção esteja disponível. Restrinja o acesso à funcionalidade do plugin em instalações multisite e instalações onde o `unfiltered html` foi desativado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin 360 Javascript Viewer para o WordPress, versões até a 1.7.29, inclusive **Descrição** A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio do parâmetro `ref`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta apenas instalações multisite e instalações nas quais a opção `unfiltered html` foi desativada. **Recomendações** Para versões até e incluindo a 1.7.29, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída. Como solução temporária, considere restringir o acesso ao parâmetro `ref` para minimizar o risco de exploração. Além disso, certifique-se de que unfiltered html esteja habilitado, se possível, para reduzir a superfície de ataque.