Andi

**Nome do software vulnerável e versões afetadas** Versões 1.x do pragmaMx anteriores à 1.12.2 **Descrição** A vulnerabilidade permite que invasores remotos injetem scripts da Web ou HTML arbitrários. Isso pode ser feito por meio do parâmetro `name` em “modules.php” ou do parâmetro `img url` em “includes/wysiwyg/spaw/editor/plugins/imgpopup/img popup.php”. **Recomendações** Para versões anteriores à 1.12.2, atualize para a versão 1.12.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos arquivos “modules.php” e “img popup.php” para minimizar o risco de exploração. Evite usar o parâmetro `name` em “modules.php” e o parâmetro `img url` em “img popup.php” até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** DokuWiki versions prior to 2012-01-25b **Description** A cross-site scripting (XSS) issue exists, allowing remote attackers to inject arbitrary web script or HTML. This is achieved via the `ns` parameter in a medialist action to "lib/exe/ajax.php". **Recommendations** For versions prior to 2012-01-25b, update to a version released after 2012-01-25b to resolve the issue. As a temporary workaround, consider restricting access to the "lib/exe/ajax.php" endpoint or disabling the `tpl mediaFileList` function in "inc/template.php" until a patch is available. Avoid using the `ns` parameter in the affected API endpoint until the issue is resolved.