Youcef Hamdani

**Nome do Software Vulnerável e Versões Afetadas** FV Flowplayer Video Player versões anteriores a 7.5.49.7213 **Description** O plugin FV Flowplayer Video Player para WordPress contém um problema de Cross-Site Scripting (XSS) Armazenado causado por sanitização de entrada e escape de saída insuficientes no texto dos comentários. Isso permite que atacantes não autenticados injetem scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada. A exploração bem-sucedida depende de o administrador ter habilitado a configuração `parse comments` (Parse Vimeo and YouTube links), que não é o padrão, e requer que um comentário enviado seja aprovado por um administrador antes que o payload seja entregue. **Recommendations** Atualize o plugin para uma versão posterior a 7.5.49.7212. Como mitigação temporária, desabilite a configuração `parse comments` (Parse Vimeo and YouTube links) do plugin.

The a3 Lazy Load plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 2.7.6 This is due to a regex bug in the filter videos() method that breaks HTML attribute quoting when processing crafted <video> elements, combined with unescaped output in the admin/views/form-data.php template. An authenticated attacker with Contributor-level access can insert a crafted <video> tag whose src attribute contains an embedded class=" substring that tricks the plugin's class-replacement regex into consuming an attribute-value closing quote. This shifts the HTML5 parser's quote boundary, promoting attacker-controlled text from inside a quoted attribute value into standalone event-handler attributes (autofocus, onfocus). The injected script executes in the browser of any user (including administrators) who views the post.

**Nome do Software Vulnerável e Versões Afetadas** WP Blockade versões anteriores a 0.9.15 **Descrição** O plugin está sujeito a Reflected Cross-Site Scripting, uma falha onde uma aplicação inclui dados não confiáveis em uma página web sem a devida validação, permitindo que invasores executem scripts no navegador da vítima. O problema existe na função `render shortcode preview()`, que processa o parâmetro `shortcode` da requisição `$ GET`. A função utiliza `stripslashes()`, mas falha em realizar a sanitização de entrada ou a escape de saída suficientes antes de passar os dados para `do shortcode()`. Se a entrada não for um shortcode válido do WordPress, ela é refletida diretamente na página. Isso requer que o invasor esteja autenticado com, no mínimo, uma conta de nível Subscriber, pois o endpoint é registrado via `admin post ` e carece de verificação de nonce ou verificações de capacidade. **Recomendações** Atualize para uma versão posterior a 0.9.14. Como medida paliativa temporária, restrinja o acesso à função `render shortcode preview()` ou evite usar o parâmetro `shortcode` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Taqnix versões anteriores a 1.0.4 **Descrição** O plugin Taqnix para WordPress é suscetível a Cross-Site Request Forgery (CSRF), uma falha onde um invasor engana um usuário para realizar ações que ele não pretendia. Isso ocorre devido à falta de verificação de nonce na função `taqnix delete my account()`, especificamente onde a chamada `check ajax referer()` está comentada. Atacantes não autenticados podem explorar isso para forçar usuários não administradores logados a excluírem suas próprias contas, induzindo-os a clicar em um link malicioso ou visitar uma página comprometida. **Recomendações** Atualize para uma versão posterior a 1.0.3. Como medida paliativa temporária, restrinja o acesso à função `taqnix delete my account()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Create DB Tables versões anteriores a 1.2.2 **Description** O plugin Create DB Tables para WordPress contém um bypass de autorização. O plugin registra hooks de ação admin post para criar tabelas ('admin post add table') e excluir tabelas ('admin post delete db table') sem implementar verificações de capacidade ou verificação de nonce. Consequentemente, qualquer usuário autenticado, incluindo aqueles com nível de acesso de Assinante, pode acessar esses endpoints. A função `cdbt delete db table()` processa um nome de tabela fornecido pelo usuário através da variável `db table` e executa uma consulta SQL DROP TABLE, o que permite a exclusão de qualquer tabela do banco de dados, incluindo tabelas críticas do núcleo do WordPress. Da mesma forma, a função `cdbt create new table()` permite a criação de tabelas de banco de dados arbitrárias. **Recommendations** Atualize para uma versão posterior a 1.2.1. Como medida paliativa temporária, restrinja o acesso aos endpoints 'admin post add table' e 'admin post delete db table' apenas a administradores autorizados.

The Petje.af plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to and including 2.1.8. This is due to missing nonce validation in the ajax revoke token() function which handles the 'petjeaf disconnect' AJAX action. The function performs destructive operations including revoking OAuth2 tokens, deleting user meta, and deleting WordPress user accounts (for users with the 'petjeaf member' role) without verifying the request originated from a legitimate source. This makes it possible for unauthenticated attackers to force authenticated users to delete their Petje.af member user accounts via a forged request granted the victim clicks on a link or visits a malicious site.

Name of the Vulnerable Software and Affected Versions Plugin PZ Frontend Manager para WordPress versões até e incluindo 1.0.6 Description O plugin PZ Frontend Manager para WordPress está sujeito a um problema de autorização ausente. A função `pzfm user request action callback()`, acessível através do endpoint AJAX `wp ajax pzfm user request action`, não executa verificações de capacidade ou de nonce adequadas. Esta função gerencia a ativação, desativação e exclusão de usuários. Especificamente, quando o parâmetro `dataType` é definido como 'delete', a função chama `wp delete user()` nos IDs de usuário fornecidos sem verificar permissões suficientes. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior excluam usuários arbitrários do WordPress, incluindo administradores, enviando uma solicitação criada para o endpoint ''wp ajax pzfm user request action''. Recommendations Para versões até e incluindo 1.0.6, atualize para uma versão mais recente que resolva este problema de autorização.

Name of the Vulnerable Software and Affected Versions WP Blockade plugin for WordPress versões até e incluindo 0.9.14 Description O plugin WP Blockade para WordPress é suscetível a um problema de autorização ausente. O plugin registra um hook de ação admin post 'wp-blockade-shortcode-render' que mapeia para a função `render shortcode preview()`. Esta função não executa verificações de capacidade ou verificação de nonce, permitindo que usuários autenticados executem shortcodes WordPress arbitrários. A função recupera um parâmetro `shortcode` fornecido pelo usuário da solicitação $ GET, processa-o com stripslashes() e o executa diretamente usando do shortcode(). Isso permite que invasores autenticados com acesso de nível de Assinante ou superior executem shortcodes arbitrários, potencialmente levando à divulgação de informações, escalada de privilégios ou outros impactos, dependendo dos shortcodes registrados no site. Recommendations Versões até e incluindo 0.9.14: Atualize para uma versão superior a 0.9.14.

**Name of the Vulnerable Software and Affected Versions** Sherk Custom Post Type Displays plugin for WordPress versions up to and including 1.2.1 **Description** The Sherk Custom Post Type Displays plugin for WordPress is susceptible to Stored Cross-Site Scripting through the 'title' shortcode attribute. This is a result of inadequate input sanitization and output escaping on the 'title' attribute of the 'sherkcptdisplays' shortcode. The `sherkcptdisplays func()` function in includes/SherkCPTDisplaysShortcode.php extracts the 'title' attribute value from shortcode atts() on line 19 and directly incorporates it into an HTML <h2> tag on line 31 without proper escaping. This allows authenticated attackers with Contributor-level access or higher to inject arbitrary web scripts into pages, which will execute when a user accesses the affected page. **Recommendations** Versions prior to and including 1.2.1 should be updated to a newer, fixed version if available.

**Name of the Vulnerable Software and Affected Versions** Task Manager plugin for WordPress versions through 3.0.2 **Description** The Task Manager plugin for WordPress is susceptible to an issue allowing unauthorized access to files. Attackers with Subscriber-level access or higher can potentially read the contents of arbitrary files on the server through the `callback get text from url()` function. This could expose sensitive information. **Recommendations** Update the Task Manager plugin to a version later than 3.0.2.

**Name of the Vulnerable Software and Affected Versions** WPFAQBlock– FAQ & Accordion Plugin For Gutenberg versions up to and including 1.1 **Description** The WPFAQBlock– FAQ & Accordion Plugin For Gutenberg plugin for WordPress has a stored cross-site scripting issue. The issue is due to insufficient input sanitization and output escaping on user-supplied attributes in the `class` parameter of the `wpfaqblock` shortcode. Authenticated attackers with Contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update WPFAQBlock– FAQ & Accordion Plugin For Gutenberg to a version later than 1.1.

**Name of the Vulnerable Software and Affected Versions** WordPress Task Manager plugin versions up to and including 3.0.2 **Description** The Task Manager plugin for WordPress is susceptible to arbitrary shortcode execution through the 'search' AJAX action. This occurs because of missing capability checks within the `callback search()` function and inadequate input validation. Specifically, shortcode syntax can bypass `sanitize text field()` and is then incorporated into a `do shortcode()` call. This allows authenticated attackers with Subscriber-level access or higher to execute arbitrary shortcodes on the site by injecting shortcode syntax into parameters such as `task id`, `point id`, `categories id`, or `term`. The vulnerable API endpoint is '/wp-admin/admin-ajax.php'. **Recommendations** Update WordPress Task Manager plugin to a version later than 3.0.2.

**Name of the Vulnerable Software and Affected Versions** Outgrow plugin for WordPress versions prior to 2.1 **Description** The Outgrow plugin for WordPress is susceptible to Stored Cross-Site Scripting through the 'id' attribute of the 'outgrow' shortcode. This is a result of inadequate input sanitization and output escaping of user-supplied attributes. Authenticated attackers with contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the affected page. **Recommendations** Update the Outgrow plugin to a version later than 2.1.

**Name of the Vulnerable Software and Affected Versions** WordPress Content Syndication Toolkit plugin versions prior to 1.4 **Description** The WordPress Content Syndication Toolkit plugin is susceptible to a Server-Side Request Forgery issue. The plugin registers an unauthenticated proxy endpoint, ''wp ajax nopriv redux p'', which accepts a URL from the `url` GET parameter without validation. This parameter is passed to `wp remote request()`, lacking built-in SSRF protection. The absence of authentication checks, nonce verification, and URL restrictions allows attackers to make web requests to arbitrary locations from the web application, potentially enabling access to internal services, network scanning, and interaction with cloud metadata endpoints. **Recommendations** Update to version 1.4 or later.

**Name of the Vulnerable Software and Affected Versions** WordPress Instant Popup Builder versions up to and including 1.1.7 **Description** The Instant Popup Builder plugin for WordPress is susceptible to Unauthenticated Arbitrary Shortcode Execution. This occurs because the `handle email verification page()` function creates a shortcode string from user-provided `token` and `email` GET parameters and passes it to `do shortcode()` without sufficient sanitization of square bracket characters, and lacks authorization checks. The `sanitize text field()` and `esc attr()` functions do not remove or escape square bracket characters. A malicious `token` value containing a ']' character can prematurely close a shortcode tag, allowing unauthenticated attackers to inject and execute arbitrary registered shortcodes. **Recommendations** Update WordPress Instant Popup Builder to a version later than 1.1.7.

**Name of the Vulnerable Software and Affected Versions** ZoomifyWP Free plugin versions prior to 1.2 **Description** The ZoomifyWP Free plugin for WordPress has a Stored Cross-Site Scripting issue. This is due to insufficient input sanitization and output escaping on user-supplied attributes. Specifically, the 'filename' parameter of the 'zoomify' shortcode is affected. Authenticated attackers with Contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update the ZoomifyWP Free plugin to version 1.2 or later.

**Name of the Vulnerable Software and Affected Versions** The Best-wp-google-map plugin for WordPress versions through 2.1 **Description** The Best-wp-google-map plugin for WordPress is susceptible to Stored Cross-Site Scripting. The issue stems from inadequate input sanitization and output escaping within the `google map view` shortcode. Specifically, the `latitude` and `longitudinal` parameters are vulnerable. Authenticated attackers with Contributor-level access or higher can inject malicious web scripts into pages. These scripts will then execute whenever a user accesses the compromised page. **Recommendations** Update The Best-wp-google-map plugin for WordPress to a version later than 2.1.

**Name of the Vulnerable Software and Affected Versions** Bold Page Builder versions up to and including 5.5.7 **Description** The Bold Page Builder plugin for WordPress is susceptible to Stored Cross-Site Scripting through the `bt bb accordion item` shortcode. This is due to inadequate input sanitization and output escaping of user-supplied attributes. Authenticated attackers with contributor-level access or higher can inject arbitrary web scripts into pages. These scripts will execute when a user accesses the affected page. **Recommendations** Update Bold Page Builder to a version later than 5.5.7.

**Name of the Vulnerable Software and Affected Versions** Buy Now Plus – Buy Now buttons for Stripe plugin for WordPress versions prior to 1.0.3 **Description** The Buy Now Plus – Buy Now buttons for Stripe plugin for WordPress is susceptible to Stored Cross-Site Scripting through the `buynowplus` shortcode. Insufficient input sanitization and output escaping on shortcode attributes allows authenticated attackers with Contributor-level access or higher to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update Buy Now Plus – Buy Now buttons for Stripe plugin for WordPress to version 1.0.3 or later.

**Name of the Vulnerable Software and Affected Versions** CM CSS Columns plugin for WordPress versions prior to 1.2.2 **Description** The CM CSS Columns plugin for WordPress is susceptible to Stored Cross-Site Scripting through the `tag` shortcode attribute. Insufficient input sanitization and output escaping on user-supplied attributes allows authenticated attackers with Contributor-level access or higher to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update the CM CSS Columns plugin to version 1.2.2 or later.