Zhuxuan Wu

**Nome do Software Vulnerável e Versões Afetadas** O plugin Booking for Appointments and Events Calendar – Amelia para WordPress, versões até e incluindo a 1.2.19 **Descrição** A falha permite que atacantes não autenticados recuperem o caminho completo da aplicação web, o que pode facilitar outros ataques. As informações exibidas não são úteis por si sós e requerem a presença de outra vulnerabilidade para causar danos a um site afetado. A função `wpAmeliaApiCall` está envolvida nesta falha. **Recomendações** Para versões até e incluindo a 1.2.19, atualize para uma versão que corrija esta falha. Como solução alternativa temporária, considere restringir o acesso à função `wpAmeliaApiCall` até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Plugin Download Manager para WordPress versões até e incluindo a 3.3.08 Descrição: A falha permite que atacantes autenticados com acesso de nível de Autor ou superior sobrescrevam determinados tipos de arquivo fora do diretório original por meio da ação `wpdm newfile`, potencialmente causando uma negação de serviço. Isso é resultado de uma vulnerabilidade de Directory Traversal. Recomendações: Para o plugin Download Manager para WordPress versões até e incluindo a 3.3.08, atualize para uma versão superior à 3.3.08 para resolver o problema. Como medida paliativa, considere restringir o acesso à ação `wpdm newfile` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Any23 anteriores à 2.5 **Descrição** Foi descoberta uma vulnerabilidade de injeção de entidade externa XML (XXE) no arquivo StreamUtils.java do Any23. Trata-se de uma vulnerabilidade de segurança web que permite que um invasor interfira no processamento de dados XML por parte de um aplicativo, possibilitando que ele visualize arquivos no sistema de arquivos do servidor do aplicativo e interaja com sistemas back-end ou externos acessíveis pelo aplicativo. **Recomendações** Para versões anteriores à 2.5, atualize para a versão 2.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o processamento de dados XML para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Any23 anteriores à 2.5 **Descrição** Foi descoberta uma vulnerabilidade de execução remota de código (RCE) no arquivo YAMLExtractor.java do Any23. Essa falha permite que um agente mal-intencionado execute qualquer código de sua escolha em uma máquina remota por meio de LAN, WAN ou internet. A RCE pertence à classe mais ampla de vulnerabilidades de execução de código arbitrário (ACE). **Recomendações** Para versões anteriores à 2.5, atualize para a versão 2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo YAMLExtractor.java até que um patch esteja disponível.