v3xx

Nome do Software Vulnerável e Versões Afetadas: Versões do Blocksy 2.0.22 e anteriores Descrição: Uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) permite que ações não autorizadas sejam realizadas em nome de um usuário. Isso pode ser explorado por um atacante para realizar ações sem o conhecimento ou consentimento do usuário. O problema afeta o software Blocksy, permitindo a ocorrência de Falsificação de Solicitação Entre Sites (CSRF). Recomendações: Para as versões 2.0.22 e anteriores, atualize para uma versão posterior à 2.0.22 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para este problema.

**Nome do Software Vulnerável e Versões Afetadas** wpDiscuz versões n/a até 7.6.3 **Descrição** O problema está relacionado a uma vulnerabilidade de Autorização Ausente no wpDiscuz, que permite explorar níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para as versões n/a até 7.6.3, atualize para uma versão superior à 7.6.3 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade específica.

**Nome do software vulnerável e versões afetadas** JS Help Desk – Best Help Desk & Support Plugin, versões de n/a a 2.7.1 **Descrição** O problema afeta o plugin JS Help Desk, permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente devido a uma vulnerabilidade de falta de autorização. Essa vulnerabilidade explora falhas no controle de acesso, podendo resultar em acesso não autorizado. **Recomendações** Atualize para a versão mais recente para proteger seu site e mitigar os riscos associados ao controle de acesso defeituoso.

**Nome do software vulnerável e versões afetadas** JS Help Desk – Best Help Desk & Support Plugin, versões anteriores à 2.7.1 **Descrição** O problema afeta o plugin JS Help Desk – Best Help Desk & Support, permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente devido a uma vulnerabilidade relacionada à falta de autorização. Essa vulnerabilidade permite alterações nas configurações sem autenticação. **Recomendações** Para versões anteriores à 2.7.1, atualize para a versão 2.7.1 ou posterior para proteger seu site. Como solução temporária, considere restringir o acesso a alterações nas configurações até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Code4Life Database for CF7, versões 1.2.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de falta de autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Para o Code4Life Database para CF7 versões 1.2.4 e anteriores, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** YMC Filter & Grids, versões 2.8.33 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de autorização ausente, que permite o acesso a funcionalidades não devidamente restritas por ACLs. **Recomendações** Para as versões 2.8.33 e anteriores do YMC Filter & Grids, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Cooked Pro anteriores à 1.8.0 **Descrição** O problema é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite ataques de falsificação de solicitação entre sites. Esse problema envolve ataques CSRF. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere implementar a validação de token CSRF para impedir solicitações não autorizadas. Restrinja o acesso a funcionalidades confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Cooked Pro anteriores à 1.8.0 **Descrição** O problema está relacionado a um upload irrestrito de arquivos de tipos perigosos, o que afeta o software Cooked Pro. Isso permite o upload de arquivos com tipos potencialmente perigosos sem as restrições adequadas. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos apenas aos tipos necessários e seguros até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Cooked Pro anteriores à 1.8.0 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite o XSS armazenado, em que um invasor pode injetar scripts maliciosos em um site, afetando potencialmente os usuários que acessarem a página comprometida. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Evite usar recursos potencialmente vulneráveis no Cooked Pro até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Plugin Cooked para o WordPress, versões até a 1.8.0, inclusive **Descrição** A vulnerabilidade está relacionada a um ataque de Cross-Site Scripting (XSS) persistente por meio do shortcode `[cooked-timer]`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de assinante ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página comprometida. **Recomendações** Para o plugin Cooked para versões do WordPress até a 1.8.0, inclusive, atualize para a versão 1.8.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** YMC Filter & Grids até a versão 2.9.2 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para versões até a 2.9.2, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Cooked para o WordPress, versões até e incluindo a 1.7.15.4 **Descrição** O problema está relacionado a uma falha de falsificação de solicitação entre sites (CSRF), causada pela falta ou incorreção na validação do nonce no manipulador de ações AJAX. Isso poderia permitir que um invasor induzisse usuários a realizar ações indesejadas sob sua autenticação atual. O problema foi corrigido na versão 1.8.0. **Recomendações** Para versões até a 1.7.15.4, inclusive, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao manipulador de ações AJAX até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Cooked para o WordPress, versões até e incluindo a 1.7.15.4 **Descrição** O problema está relacionado a uma falha de falsificação de solicitação entre sites (CSRF), causada pela falta ou incorreção na validação do nonce no manipulador de ações AJAX. Isso poderia permitir que um invasor induzisse usuários a realizar ações indesejadas sob sua autenticação atual. O problema foi corrigido na versão 1.8.0. **Recomendações** Para versões até a 1.7.15.4, inclusive, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao manipulador de ações AJAX até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Cooked para o WordPress, versões até e incluindo a 1.7.15.4 **Descrição** O problema está relacionado a uma falha de falsificação de solicitação entre sites (CSRF), causada pela falta ou incorreção na validação do nonce no manipulador de ações AJAX. Isso poderia permitir que um invasor induzisse usuários a realizar ações indesejadas sob sua autenticação atual. **Recomendações** Para versões até a 1.7.15.4, inclusive, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao manipulador de ação AJAX até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Cooked para o WordPress, versões até e incluindo a 1.7.15.4 **Descrição** O plugin Cooked para WordPress está vulnerável a injeção de HTML devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Essa vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior injetem HTML arbitrário em páginas que serão exibidas sempre que um usuário acessar uma página comprometida. **Recomendações** Para versões até a 1.7.15.4, inclusive, atualize para a versão 1.8.0 para corrigir o problema.

**Nome do software vulnerável e versões afetadas** Versões do Cooked até a 1.7.15.4, inclusive **Descrição** O plugin Cooked para WordPress está afetado por uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) devido à falta ou à validação incorreta do nonce no manipulador de ações AJAX. Isso poderia permitir que um invasor induzisse usuários a realizar ações indesejadas sob sua autenticação atual. **Recomendações** Para versões até a 1.7.15.4, inclusive, atualize para a versão 1.8.0 para corrigir o problema. Como solução temporária, considere restringir o acesso ao manipulador de ações AJAX até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Tema Goya para o WordPress, versões até e incluindo a 1.0.8.7 **Descrição** O problema está relacionado a Cross-Site Scripting refletido devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores não autenticados injetem scripts web arbitrários nas páginas por meio dos parâmetros `attra-color`, `attra-size` e `product-cata`. Os invasores podem explorar essa vulnerabilidade induzindo um usuário a realizar uma ação, como clicar em um link. **Recomendações** Para versões até e incluindo a 1.0.8.7, considere atualizar para uma versão que corrija o problema de sanitização insuficiente de entradas e escapamento de saídas. Como solução temporária, considere restringir o uso dos parâmetros `attra-color`, `attra-size` e `product-cata` até que um patch esteja disponível. Evite usar esses parâmetros em operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** O plugin de receitas Cooked Pro para versões do WordPress até a 1.7.15.4, inclusive **Descrição** O problema está relacionado a um ataque de Cross-Site Scripting (XSS) persistente por meio do parâmetro ` recipe settings[post title]`, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página comprometida. **Recomendações** Para versões até e incluindo a 1.7.15.4, atualize para a versão 1.8.0, que inclui o patch para este problema. Como solução temporária, considere restringir o acesso ao parâmetro ` recipe settings[post title]` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Adifier System anteriores à 3.1.4 **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como “Path Traversal”, o que permite a inclusão de arquivos locais (PHP Local File Inclusion) no Adifier System. Isso pode potencialmente levar ao acesso não autorizado a arquivos confidenciais. **Recomendações** Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** xtemos WoodMart, versões n/a a 7.0.4 **Descrição** A vulnerabilidade afeta o xtemos WoodMart, permitindo Cross-Site Scripting (XSS) devido à autenticação inadequada e à neutralização incorreta de entradas durante a geração da página web. **Recomendações** Para as versões n/a a 7.0.4, atualize para uma versão posterior à 7.0.4 para resolver o problema.