Alexandre Zanni

**Nome do Software Vulnerável e Versões Afetadas** Netmake ScriptCase versões anteriores a 9.12.006 (23) **Description** A extensão do Ambiente de Produção contém uma falha no mecanismo de redefinição de senha do administrador. Um invasor remoto não autenticado pode ignorar a autenticação e assumir o controle da conta de administrador enviando requisições GET e POST especialmente criadas para o endpoint 'login.php'. Este problema pode ser encadeado com outras falhas para alcançar a execução remota de código (RCE), que é a capacidade de executar comandos arbitrários no servidor alvo. **Recommendations** Atualize para uma versão posterior a 9.12.006 (23). Como mitigação temporária, implemente restrições de acesso imediatas ao console de produção.

Nome do Software Vulnerável e Versões Afetadas: Netmake ScriptCase versões 9.12.006 e anteriores Descrição: A vulnerabilidade permite que atacantes autenticados executem comandos do sistema por meio de requisições HTTP manipuladas, devido a uma injeção de shell nas configurações de conexão SSH. Adicionalmente, há um mecanismo de redefinição de senha de Administrador com tratamento inadequado que pode ser explorado ao realizar tanto uma requisição GET quanto uma POST para "login.php", permitindo que um atacante não autenticado contorne a autenticação através da tomada de conta de administrador. Recomendações: Para as versões 9.12.006 e anteriores, como medida de contorno temporária, considere desativar as configurações de conexão SSH na extensão Production Environment até que um patch esteja disponível. Restrinja o acesso ao arquivo "login.php" para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** REDCap versions 8.0.0 through 8.10.19 REDCap versions 9.0.0 through 9.1.1 **Description** The issue concerns multiple stored Cross-site scripting (XSS) problems in the admin panel and survey system. An attacker can inject arbitrary malicious HTML or JavaScript code into a user's web browser. **Recommendations** For REDCap versions 8.0.0 through 8.10.19, update to version 8.10.20 or later. For REDCap versions 9.0.0 through 9.1.1, update to version 9.1.2 or later.