Zulu Capwn

**Nome do software vulnerável e versões afetadas** Plugin Admission AppManager para WordPress, versão 1.0.0 e anteriores **Descrição** O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários nas páginas, induzindo um usuário a realizar uma ação, como clicar em um link, por meio do parâmetro `q`. **Recomendações** Para o plugin Admission AppManager para WordPress versão 1.0.0 e anteriores, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saídas. Como solução temporária, considere restringir o acesso ao parâmetro `q` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “Slideshow, Image Slider by 2J” para o WordPress, nas versões até a 1.3.54, inclusive **Descrição** O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas, permitindo que invasores não autenticados injetem scripts web arbitrários nas páginas. Isso pode ser feito induzindo um usuário a realizar uma ação, como clicar em um link, por meio do parâmetro `post`. **Recomendações** Para versões até e incluindo a 1.3.54, atualize para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saída, a fim de prevenir ataques de Reflected Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao parâmetro `post` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Contact Form 7 para versões do WordPress até a 1.1.1, inclusive **Descrição** O armazenamento de dados do painel de administração do plugin Contact Form 7 está vulnerável a injeção de SQL por meio do parâmetro `form-id`, devido à falta de escapamento adequado no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, acrescentem consultas SQL adicionais às consultas já existentes, o que pode ser usado para extrair informações confidenciais do banco de dados. **Recomendações** Para o plugin Contact Form 7 para versões do WordPress até a 1.1.1, inclusive, considere atualizar para uma versão que corrija essa falha, já que não há solução alternativa específica para essas versões. Como solução temporária, considere restringir o acesso ao parâmetro `form-id` no endpoint da API afetado até que um patch esteja disponível. Evite usar o parâmetro `form-id` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Contact Form 7 para o WordPress, versões até a 1.1.1, inclusive **Descrição** O armazenamento de dados do painel de administração do plugin Contact Form 7 está vulnerável a Cross-Site Request Forgery devido à falta ou incorreção na validação do nonce na função de atualização de configurações. Isso permite que invasores não autenticados atualizem as configurações do plugin por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.1.1, inclusive, atualize para uma versão que inclua a correção para a falta ou incorreção na validação do nonce na função de atualização de configurações. Como solução temporária, considere restringir o acesso à função de atualização de configurações até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Plugin Contact Form 7 para o WordPress, versões até e incluindo a 1.1.1 **Descrição** O armazenamento de dados no painel de administração está vulnerável a modificações não autorizadas devido à falta de uma verificação de permissão na função `zt dcfcf change bookmark()`. Isso permite que invasores não autenticados alterem o status dos favoritos. **Recomendações** Para versões até a 1.1.1, inclusive, considere desativar a função `zt dcfcf change bookmark()` até que um patch esteja disponível para impedir a modificação não autorizada de dados.

**Nome do software vulnerável e versões afetadas** Plugin Contact Form 7 para o WordPress, versões até a 1.1.1, inclusive **Descrição** O armazenamento de dados do painel de administração do plugin Contact Form 7 está vulnerável a modificações não autorizadas de dados devido à falta de uma verificação de permissão na função `zt dcfcf change status()`. Isso permite que invasores não autenticados alterem o status de leitura das mensagens. **Recomendações** Para versões até a 1.1.1, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função `zt dcfcf change status()`. Como solução temporária, considere desativar a função `zt dcfcf change status()` até que um patch esteja disponível.