Alex Joss

**Nome do software vulnerável e versões afetadas: Intland codeBeamer ALM, versões 10.x a 10.1.SP4 Descrição: Foi detectado um problema relacionado à proteção insuficiente das credenciais. O cookie de “lembrar-me” `CB LOGIN` contém credenciais de usuário criptografadas; no entanto, devido a um bug, essas credenciais são criptografadas utilizando uma chave de criptografia nula. Recomendações: Para as versões 10.x a 10.1.SP4, considere desativar o uso do recurso de cookie “lembrar-me” até que uma correção esteja disponível. Restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Intland codeBeamer ALM, versões 10.x a 10.1.SP4 Descrição: Foi detectada uma vulnerabilidade de tipo cross-site scripting (XSS). É possível realizar ataques XSS utilizando a funcionalidade WebDAV para enviar arquivos para um projeto, utilizando a funcionalidade de importação de usuários e alterando o texto de login na configuração do aplicativo. Recomendações: Para as versões 10.x a 10.1.SP4, considere desativar a funcionalidade WebDAV, restringir o uso da funcionalidade de importação de usuários às tarefas administrativas necessárias e evitar alterações no texto de login na configuração do aplicativo até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Avaya Equinox Conferencing, versões 9.x a 9.1.10 Descrição: Uma vulnerabilidade do tipo XML External Entities (XXE) no componente Media Server poderia permitir que um invasor remoto autenticado obtivesse acesso de leitura às informações armazenadas em um sistema afetado ou, potencialmente, causasse uma negação de serviço. Recomendações: Para as versões 9.x a 9.1.10 do Avaya Equinox Conferencing, atualize para a versão 9.1.11 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Componente de gerenciamento do Avaya Equinox Conferencing, versões 3.x anteriores à 3.17 Descrição: Foi descoberta uma vulnerabilidade no componente de gerenciamento do Avaya Equinox Conferencing que poderia permitir que um invasor remoto não autenticado obtivesse acesso a sessões de compartilhamento de tela e quadro branco. Recomendações: Para versões 3.x anteriores à 3.17, atualize para a versão 3.17 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Intland codeBeamer ALM, versões 10.x a 10.1.SP4 **Descrição** Foi detectada uma falha na forma como o Intland codeBeamer ALM analisa os dados XML ReqIF utilizados para importar projetos. Os componentes do software estão configurados de forma insegura, permitindo ataques de entidade externa XML. **Recomendações** Para as versões 10.x a 10.1.SP4, considere desativar a importação de dados XML ReqIF até que uma correção esteja disponível para evitar possíveis ataques de entidade externa XML. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.