Yassine Neggaoui

**Nome do Software Vulnerável e Versões Afetadas** Plugin Debug Log Manager para WordPress versões até a 2.3.4, inclusive **Descrição** O problema está relacionado ao Cross-Site Scripting Armazenado via log de depuração com atualização automática, devido à sanitização de entrada e ao escape de saída insuficientes. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. **Recomendações** Para versões até a 2.3.4, inclusive, atualize para uma versão que corrija a questão de sanitização de entrada e escape de saída insuficientes para prevenir ataques de Cross-Site Scripting Armazenado. Como solução alternativa temporária, considere desativar o recurso de log de depuração com atualização automática até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: coreActivity: Plugin de Registro de Atividades para WordPress versões anteriores à 2.8 Descrição: O problema surge devido ao escape insuficiente dos parâmetros fornecidos pelo usuário `order` e `orderby`, e à falta de preparação adequada das consultas SQL existentes. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior anexem consultas SQL adicionais às existentes, potencialmente extraindo informações sensíveis do banco de dados. Recomendações: Para versões anteriores à 2.8, atualize para uma versão que inclua uma correção para este problema, pois a versão atual é vulnerável a ataques de injeção de SQL através dos parâmetros `order` e `orderby`. Como medida temporária, considere restringir o acesso aos parâmetros `order` e `orderby` no plugin afetado até que uma correção esteja disponível.