Alexandre Larocque

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários remotos não autenticados injetem e executem comandos de sistema arbitrários por meio dos parâmetros `command` e `commandvalues`, controlados pelo usuário e não sanitizados, nas páginas cominput.jsp e comoutput.jsp. **Recomendações** Para o NorthStar Club Management versão 6.3, considere sanitizar os parâmetros `command` e `commandvalues` em cominput.jsp e comoutput.jsp para impedir a execução remota de código. Como solução alternativa temporária, restrinja o acesso a essas páginas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários remotos autenticados alterem a senha de qualquer conta de usuário visada devido à falta de autorização adequada no parâmetro `userID` da solicitação HTTP POST enviada ao endpoint da API “/northstar/Admin/changePassword.jsp”. **Recomendações** Para o NorthStar Club Management versão 6.3, considere restringir o acesso ao endpoint da API “/northstar/Admin/changePassword.jsp” até que uma correção esteja disponível e evite usar o parâmetro `userID` nesse endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários remotos não autenticados baixem arquivos arbitrários, incluindo código-fonte JSP, em todo o sistema de arquivos do servidor da aplicação web, devido a um problema de traversal de diretório no endpoint `/northstar/filemanager/download.jsp`. **Recomendações** Para o NorthStar Club Management versão 6.3, considere restringir o acesso ao endpoint `/northstar/filemanager/download.jsp` até que uma correção esteja disponível. Como solução alternativa temporária, limite a capacidade de baixar arquivos apenas ao pessoal necessário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários remotos não autenticados utilizem diversas funcionalidades sem autenticação, devido a permissões inseguras no sistema. **Recomendações** Para o NorthStar Club Management versão 6.3, atualize o sistema para implementar mecanismos de autenticação adequados em todas as funcionalidades, a fim de impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários locais remotos interceptem credenciais de usuário transmitidas em texto simples via HTTP, devido à transmissão em texto simples de informações confidenciais no endpoint /northstar/Admin/login.jsp. **Recomendações** Para a versão 6.3, considere restringir o acesso ao endpoint /northstar/Admin/login.jsp até que um método de conexão segura, como HTTPS, seja implementado para criptografar informações confidenciais. Como solução alternativa temporária, evite usar as variáveis `username` e `password` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** NorthStar Club Management versão 6.3 **Descrição** A vulnerabilidade permite que usuários remotos não autenticados naveguem e listem diretórios em todo o sistema de arquivos do servidor que hospeda a aplicação web, por meio de uma vulnerabilidade de traversal de diretório no endpoint /northstar/Common/NorthFileManager/fileManagerObjects.jsp. **Recomendações** Para o NorthStar Club Management versão 6.3, atualize para uma versão que corrija o problema de traversal de diretório no endpoint /northstar/Common/NorthFileManager/fileManagerObjects.jsp para impedir o acesso não autorizado ao sistema de arquivos. Como solução temporária, considere restringir o acesso ao endpoint /northstar/Common/NorthFileManager/fileManagerObjects.jsp até que um patch esteja disponível.