Zhongfu Su

**Nome do software vulnerável e versões afetadas** O plugin Gallery para o WordPress em versões anteriores à 1.8.4.7 **Descrição** O problema está relacionado à falha em escapar o parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo. Isso pode levar a um ataque de Cross-Site Scripting refletido em navegadores antigos. **Recomendações** Para versões anteriores à 1.8.4.7, atualize para a versão 1.8.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** @pendo324/get-process-by-name – todas as versões **Descrição** O problema está relacionado à execução arbitrária de código devido à sanitização inadequada da função `getProcessByName`. Isso permite a potencial execução de código sem a devida validação. **Recomendações** Para todas as versões, considere desativar a função `getProcessByName` até que um patch esteja disponível para evitar a potencial execução arbitrária de código. Restrinja o acesso a essa função para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Contact Form DB para WordPress anteriores à 1.8.0 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque o plugin não sanitiza e não escapa adequadamente alguns parâmetros antes de exibi-los novamente nos atributos. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Todas as versões do mc-kill-port **Descrição** A vulnerabilidade diz respeito à execução arbitrária de comandos por meio da função `kill`, devido à falta de sanitização do argumento `port`. Isso permite uma possível exploração. Não há informações disponíveis sobre o número estimado de dispositivos afetados ou incidentes reais. **Recomendações** Para todas as versões, considere desativar a função `kill` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao argumento `port` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin Crowdsignal Dashboard para WordPress anteriores à 3.0.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um `parâmetro` não é devidamente sanitizado e escapado antes de ser exibido na página. Isso permite que scripts maliciosos sejam injetados e executados. **Recomendações** Para versões anteriores à 3.0.8, atualize para a versão 3.0.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin Crowdsignal Dashboard para WordPress até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 0.0.2 do @acrontum/filesystem-template **Descrição** O problema está relacionado à injeção arbitrária de comandos, devido à falta de sanitização do campo `href` de entradas externas na API `fetchRepo`. Isso permite possíveis ataques de injeção de comandos. **Recomendações** Para versões anteriores à 0.0.2, atualize para a versão 0.0.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a API `fetchRepo` ou restringir o acesso a ela até que um patch esteja disponível. Evite usar o campo `href` no endpoint da API afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin CAPTCHA 4WP para WordPress anteriores à 7.1.0 **Descrição** A vulnerabilidade permite que dados inseridos pelo usuário cheguem a uma chamada `require once` sensível em um dos modelos do painel de administração. Isso pode ser explorado por invasores por meio de um ataque de falsificação de solicitação entre sites (CSRF) para executar código arbitrário no servidor. **Recomendações** Para versões anteriores à 7.1.0, atualize para a versão 7.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos modelos do painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced WordPress Reset anteriores à 1.6 **Descrição** O problema diz respeito a Cross-Site Scripting refletido. Ele ocorre porque algumas URLs geradas não são escapadas corretamente antes de serem exibidas nos atributos href das páginas do painel de administração. **Recomendações** Para versões anteriores à 1.6, atualize para a versão 1.6 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP Video Lightbox para WordPress anteriores à 1.9.5 **Descrição** O problema diz respeito ao plugin WP Video Lightbox para WordPress, que não realiza a codificação adequada do parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo. Isso pode potencialmente levar a um ataque de Cross-Site Scripting refletido em navegadores mais antigos. **Recomendações** Para versões do plugin WP Video Lightbox para WordPress anteriores à 1.9.5, atualize para a versão 1.9.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Popup Anything para WordPress anteriores à 2.1.7 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido em uma página do front-end. **Recomendações** Para versões anteriores à 2.1.7, atualize para a versão 2.1.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página front-end onde o parâmetro é exibido até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Download Manager para WordPress anteriores à 3.2.44 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque uma URL gerada não é devidamente escapada antes de ser exibida em um atributo do painel de histórico. Isso permite a injeção de scripts maliciosos. **Recomendações** Para versões anteriores à 3.2.44, atualize para a versão 3.2.44 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de histórico para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.4.2 do plugin “Discount Rules for WooCommerce” para WordPress **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é escapado corretamente antes de ser exibido em um atributo na página de regras de desconto do plugin. **Recomendações** Para versões anteriores à 2.4.2, atualize para a versão 2.4.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Advanced Database Cleaner para WordPress anteriores à 3.1.1 **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa adequadamente várias URLs geradas antes de exibi-las nos atributos href das páginas do painel de administração. **Recomendações** Para versões anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas do painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 0.1.2 do plugin Contact Form 7 Captcha para WordPress **Descrição** O problema decorre da falha em escapar o parâmetro `REQUEST URI` antes de exibi-lo novamente em um atributo, o que pode levar a um ataque de Cross-Site Scripting refletido em navegadores mais antigos. **Recomendações** Para versões anteriores à 0.1.2, atualize para a versão 0.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a atributos que utilizam o parâmetro `REQUEST URI` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** WooCommerce PDF Invoices & Packing Slips, versões anteriores à 2.16.0 **Descrição** A vulnerabilidade permite que invasores realizem ataques de cross-site scripting refletido devido a um parâmetro na página de configurações que não foi devidamente escapado. Isso possibilita que invasores injetem scripts maliciosos na página. **Recomendações** Para versões anteriores à 2.16.0, atualize para a versão 2.16.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.5.0 do plugin “Redirection for Contact Form 7” para WordPress **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa adequadamente um link gerado antes de exibi-lo em um atributo. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o plugin até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Ocean Extra para WordPress anteriores à 1.9.5 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque o plugin não escapa corretamente os links gerados quando o OceanWP está ativo. **Recomendações** Para versões anteriores à 1.9.5, atualize para a versão 1.9.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin XML Sitemaps para WordPress anteriores à 4.1.3 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting, mesmo quando a capacidade `unfiltered html` está desativada, por exemplo, em configurações multisite. Isso ocorre porque o plugin não sanitiza e não escapa as configurações antes de exibi-las na página de depuração. **Recomendações** Para versões anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de depuração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** gatsby-plugin-mdx, versões 3.0.0 a 3.15.1 gatsby-plugin-mdx, versões 2.14.0 e anteriores **Descrição** O plugin gatsby-plugin-mdx está vulnerável à deserialização de dados não confiáveis ao passar entradas para o pacote `gray-matter`, devido às suas configurações padrão que não incluem sanitização de entradas. Essa vulnerabilidade pode ser explorada ao passar entradas tanto no webpack (arquivos MDX em `src/pages` ou arquivos MDX importados como um componente no código front-end/React) quanto no modo de dados (consultando nós MDX via GraphQL). O JavaScript injetado é executado no contexto do servidor de compilação. Para explorar essa vulnerabilidade, entradas não confiáveis/não sanitizadas precisariam ser obtidas ou adicionadas a um arquivo MDX. **Recomendações** Para as versões 3.0.0 a 3.15.1 do gatsby-plugin-mdx, atualize para a versão 3.15.2 ou posterior. Para as versões 2.14.0 e anteriores do gatsby-plugin-mdx, atualize para a versão 2.14.1 ou posterior. Se for necessário usar uma versão mais antiga do gatsby-plugin-mdx, a entrada passada para o plugin deve ser sanitizada antes do processamento. Como solução alternativa temporária, considere desativar a opção `JSFrontmatterEngine` para mitigar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Check & Log Email para WordPress anteriores à 1.0.6 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre porque um parâmetro não é devidamente sanitizado e escapado antes de ser exibido novamente em um atributo na página de administração. **Recomendações** Para versões anteriores à 1.0.6, atualize para a versão 1.0.6 ou posterior para resolver o problema.