Alexandru Postolache

**Nome do Software Vulnerável e Versões Afetadas** DreamFactory (versões afetadas não especificadas) **Descrição** Existe uma falha na implementação do método `saveZipFile` que poderia permitir que atacantes remotos executassem código arbitrário em instalações afetadas do DreamFactory. A autenticação é necessária para a exploração. O problema decorre da validação insuficiente de entrada fornecida pelo usuário antes de ser usada em uma chamada de sistema, potencialmente permitindo que um atacante execute código com os privilégios da conta de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** trenoncourt AutoQueryable versão 1.7.0 **Descrição** Uma falha no trenoncourt AutoQueryable permite que um atacante remoto obtenha informações sensíveis por meio da função `Unselectable`. **Recomendações** Para o trenoncourt AutoQueryable versão 1.7.0, considere desativar a função `Unselectable` como uma solução temporária até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** janeczku Calibre-Web, versões 0.6.0 a 0.6.21 **Descrição** O problema decorre de uma sanitização inadequada realizada pela função `clean string`, especificamente na forma como ela lida com a sanitização de HTML, tornando a função `edit book comments` vulnerável a ataques de Cross Site Scripting (XSS). **Recomendações** Para as versões 0.6.0 a 0.6.21, considere desativar a função `edit book comments` até que um patch esteja disponível para prevenir possíveis ataques XSS. Restrinja o acesso à função `clean string` para minimizar o risco de exploração. Evite usar a função `clean string` para sanitização de HTML nas versões afetadas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Gitea Open Source Git Server versão 1.22.0 **Descrição** A vulnerabilidade afeta o Gitea Open Source Git Server devido à neutralização inadequada de entradas durante a geração de páginas da web, permitindo um ataque XSS armazenado (Stored XSS). Isso pode permitir que um invasor remoto realize um ataque de script entre sites (cross-site scripting). **Recomendações** Para a versão 1.22.0, atualize para a versão 1.23.0 para corrigir este problema. Como solução temporária, considere restringir o acesso a áreas confidenciais da aplicação web para minimizar o risco de exploração.