Yangshengcheng@Webray.Com.Cn Inc

**Nome do software vulnerável e versões afetadas** Plugin You Shang para WordPress, versões 1.0.1 e anteriores **Descrição** O problema decorre do fato de o plugin You Shang para WordPress não escapar as configurações de links de QR code, resultando em vulnerabilidades de Stored Cross-Site Scripting. Essas vulnerabilidades podem se manifestar em publicações do front-end e na página de configurações do plugin, dependendo da carga maliciosa utilizada. **Recomendações** Para as versões 1.0.1 e anteriores do plugin You Shang para WordPress, atualize para uma versão que escape adequadamente as configurações de links qrcode para evitar problemas de Stored Cross-Site Scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin “Donate With QRCode” para WordPress anteriores à 1.4.5 **Descrição** O problema está relacionado a um ataque de Stored Cross-Site Scripting (XSS). O plugin não sanitiza nem escapa sua configuração de imagem de código QR, permitindo que qualquer usuário autenticado, ou usuário não autenticado por meio de um vetor CSRF, atualize a configuração e execute um ataque. A falta de verificações de CSRF e de permissão ao salvar a configuração permite que qualquer usuário autenticado, incluindo aqueles com privilégios limitados, como assinantes, atualize a configuração. **Recomendações** Para versões anteriores à 1.4.5, atualize para a versão 1.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração da imagem do QR Code para minimizar o risco de exploração. Além disso, restrinja a capacidade de usuários com privilégios limitados, como assinantes, de atualizar configurações que possam ser potencialmente usadas para ataques XSS.