Yuya Kotake

**Nome do Software Vulnerável e Versões Afetadas** Versões do Snow Monkey anteriores à 29.1.6 **Descrição** O tema Snow Monkey para WordPress está suscetível a Falsificação de Solicitação no Lado do Servidor (SSRF) em todas as versões até e incluindo a 29.1.5. Esta falha reside na função `request()` e permite que atacantes não autenticados iniciem solicitações web para locais arbitrários a partir da aplicação web. A exploração bem-sucedida poderia permitir que atacantes consultassem e modificassem informações de serviços internos. **Recomendações** Atualize para a versão 29.1.6 ou posterior do Snow Monkey.

**Name of the Vulnerable Software and Affected Versions** Intuitive Custom Post Order WordPress plugin versions prior to 3.1.4 **Description** The issue allows any logged-in user, with roles as low as Subscriber, to update the menu order due to a lack of authorization check in the `update-menu-order` ajax action. **Recommendations** For versions prior to 3.1.4, update to version 3.1.4 or later to resolve the issue. As a temporary workaround, consider restricting access to the `update-menu-order` ajax action to prevent unauthorized menu order updates.

**Name of the Vulnerable Software and Affected Versions** Intuitive Custom Post Order WordPress plugin versions prior to 3.1.4 **Description** The issue lacks CSRF protection in its `update-menu-order` ajax action, allowing an attacker to trick any user into changing the menu order via a CSRF attack. **Recommendations** For versions prior to 3.1.4, update to version 3.1.4 or later to resolve the issue. As a temporary workaround, consider restricting access to the `update-menu-order` ajax action to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** BaserCMS (versões afetadas não especificadas) **Descrição** O problema é uma vulnerabilidade de script entre sites (XSS) no sistema de gerenciamento do BaserCMS, um sistema de gerenciamento de conteúdo voltado para o idioma japonês. Essa vulnerabilidade precisa ser corrigida, uma vez que o sistema de gerenciamento é utilizado por um número não especificado de usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.