Aleksandr Ustinov

**Nome do software vulnerável e versões afetadas** Versões do Nokia NetAct anteriores à 22 FP2211 **Descrição** O problema está relacionado à proteção insuficiente da estrutura da página da web durante a criação de tarefas. Isso permite que um invasor execute ataques de cross-site scripting (XSS) por meio da injeção de scripts. A vulnerabilidade pode ser explorada na guia “Pesquisa Programada” da página “Painel de Relatórios de Alarmes”, onde os usuários podem criar um script para injetar XSS devido à falta de validação de entrada durante a criação de uma tarefa programada. Para um invasor externo, é muito difícil explorar isso, pois seriam necessários alguns parâmetros criados dinamicamente, como `Jsession-id`, um `token CSRF` e um `token Nxsrf`. Realisticamente, o ataque só pode ser realizado por um usuário interno. **Recomendações** Para versões do Nokia NetAct anteriores à 22 FP2211, atualize para a versão 22 FP2211 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à guia Pesquisa Programada na página Painel de Relatórios de Alarmes para minimizar o risco de exploração. Além disso, restrinja a capacidade de criar scripts que possam injetar XSS nesta página até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Nokia NetAct anteriores à 22 FP2211 **Descrição** O problema está relacionado à falta de validação de entrada ao criar um conjunto de trabalho no sistema NetAct, permitindo que um invasor injete uma carga de modelo do lado do cliente. Isso pode levar à execução de código JavaScript arbitrário. O ataque pode ser realizado por um usuário interno, já que explorar essa vulnerabilidade de fora é difícil devido à necessidade de parâmetros criados dinamicamente, como `Jsession-id`, `CSRF token` e `Nxsrf token`. **Recomendações** Para versões anteriores à 22 FP2211, atualize para a versão 22 FP2211 ou posterior para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à página do Gerenciador de Conjuntos de Trabalho para minimizar o risco de exploração. Além disso, certifique-se de que todos os usuários estejam cientes do risco potencial e tomem as precauções necessárias para evitar a injeção de cargas maliciosas ao criar conjuntos de trabalho.

**Nome do software vulnerável e versões afetadas** Versões do Nokia NetAct anteriores à 22 SP1037 **Descrição** Foi descoberta uma vulnerabilidade na guia “Site Configuration Tool” do Nokia NetAct, na qual invasores podem enviar um arquivo ZIP que, ao ser processado, explora uma vulnerabilidade de Stored XSS. A opção de envio da ferramenta “Site Configuration Tool” não valida o conteúdo do arquivo. O aplicativo está localizado em uma zona desmilitarizada, protegida por um firewall de perímetro e sem exposição à Internet. O ataque só pode ser realizado por um usuário interno. **Recomendações** Para versões anteriores à 22 SP1037, atualize para a versão 22 SP1037 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a opção de upload de arquivos na guia Ferramenta de Configuração do Site até que um patch esteja disponível. Restrinja o acesso à Ferramenta de Configuração do Site para minimizar o risco de exploração. Evite usar a opção de upload para arquivos ZIP na ferramenta afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Nokia NetAct anteriores à 22 FP2211 **Descrição** Foi detectada uma vulnerabilidade de tipo XXE no Nokia NetAct por meio de um documento XML enviado a uma página do Performance Manager, onde faltam a validação de entrada e uma configuração adequada do analisador XML. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas ou realizasse um ataque SSRF. Para um invasor externo, é muito difícil explorar essa vulnerabilidade, pois seriam necessários parâmetros criados dinamicamente, como `Jsession-id`, `CSRF token` e `Nxsrf token`. Na prática, o ataque só pode ser realizado por um usuário interno. **Recomendações** Para versões do Nokia NetAct anteriores à 22 FP2211, atualize para a versão 22 FP2211 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à página do Performance Manager e garantir a validação adequada de entradas e a configuração do analisador XML para minimizar o risco de exploração. Restrinja o acesso a parâmetros criados dinamicamente, como `Jsession-id`, `CSRF token` e `Nxsrf token`, para impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Versões do Nokia NetAct anteriores à 22 FP2211 **Descrição** Foi detectada uma vulnerabilidade do tipo XXE por meio de um documento XML enviado à página do Painel de Configuração, onde faltam a validação de entradas e uma configuração adequada do analisador XML. Isso dificulta a exploração por um invasor externo, pois seriam necessários parâmetros criados dinamicamente, como `Jsession-id`, `CSRF token` e `Nxsrf token`. Realisticamente, o ataque só pode ser realizado por um usuário interno. A vulnerabilidade está relacionada à restrição incorreta de links XML para objetos externos, o que pode permitir que um invasor obtenha acesso não autorizado a informações protegidas ou execute um ataque SSRF. **Recomendações** Para versões do Nokia NetAct anteriores à 22 FP2211, considere implementar uma validação de entrada adequada e configurar um analisador XML para mitigar o risco de exploração. Como solução alternativa temporária, restrinja o acesso à página do Painel de Configuração para minimizar o risco de usuários internos explorarem essa vulnerabilidade. Certifique-se de que todos os parâmetros criados dinamicamente, como `Jsession-id`, `CSRF token` e `Nxsrf token`, sejam devidamente validados e protegidos.