Andrea Intilangelo

**Nome do Software Vulnerável e Versões Afetadas** Rapid7 Metasploit Pro (versões afetadas não especificadas) **Descrição** O Rapid7 Metasploit Pro no Windows está sujeito a uma escalada de privilégios locais. Durante a inicialização, o serviço `metasploitPostgreSQL` e o subsequente serviço `postgres.exe` tentam carregar um arquivo de configuração OpenSSL de um diretório inexistente que usuários padrão podem gravar. Um invasor pode colocar um arquivo `openssl.cnf` manipulado nesse local para enganar o serviço de alto privilégio e executar comandos arbitrários, permitindo que um usuário sem privilégios obtenha controle de nível SYSTEM do host. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo '/inventory/add new customer'. Esta falha permite que um invasor remoto inicie um ataque por meio da manipulação do arquivo afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo `/accounts/mr-save`. Esta falha permite que um invasor remoto execute scripts maliciosos por meio da manipulação de código desconhecido dentro desse arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting remoto existe no arquivo '/accounts/chart-save'. Isso permite que um invasor execute scripts maliciosos no navegador da vítima. **Recomendações** Como medida paliativa temporária, restrinja o acesso ao arquivo '/accounts/chart-save' para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Uma falha no arquivo '/inventory/item-save' permite a execução remota de cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Description** Uma fraqueza em uma função desconhecida no arquivo '/inventory/purchase return save' permite a execução remota de cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao arquivo '/inventory/purchase return save' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo '/inventory/customer-save'. Esta falha permite que um invasor remoto execute scripts maliciosos através da manipulação de uma função não especificada dentro desse arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo '/inventory/sales save'. Esta falha permite que um invasor remoto execute scripts maliciosos através da manipulação de funcionalidades desconhecidas dentro desse arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo '/inventory/purchase save'. Esta falha permite que um invasor remoto execute scripts maliciosos ao manipular uma funcionalidade desconhecida dentro desse arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Devs Palace ERP Online versões anteriores a 4.0.0 **Descrição** Um problema de cross-site scripting existe no arquivo `/inventory/supplier-save`. Esta falha permite a exploração remota através da manipulação de uma função desconhecida dentro desse arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** WebSystems WebTOTUM 2026 **Description** Uma falha no componente Calendar permite a execução de cross site scripting remoto, que ocorre quando um script malicioso é injetado em um site confiável e executado no navegador da vítima. **Recommendations** Atualize o componente Calendar para a versão corrigida.

**Name of the Vulnerable Software and Affected Versions** ERP Online versões anteriores a 4.0.0 **Description** Uma falha de cross site scripting existe no componente Inventory Edit Item Page. Atacantes remotos podem explorar isso manipulando o argumento `Item Name`. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** TotalAV version 5.15.69 **Description** TotalAV version 5.15.69 contains an unquoted service path issue in multiple system services running with LocalSystem privileges. An attacker can place malicious executables in specific unquoted path segments, potentially gaining SYSTEM-level access by exploiting the service path configuration. **Recommendations** Ensure service paths are properly quoted to prevent the placement of malicious executables.

**Nome do Software Vulnerável e Versões Afetadas** Energy CRM versão 2025 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado devido à validação insuficiente de dados fornecidos pelo usuário. Um usuário remoto pode explorar isso enviando uma requisição POST para o endpoint `/crm/create job submit.php`, utilizando especificamente o parâmetro `JobCreatedBy`. A exploração bem-sucedida pode permitir que um invasor roube os detalhes da sessão do cookie de um usuário autenticado. **Recomendações** Garanta a validação adequada da entrada do usuário para o parâmetro `JobCreatedBy` no endpoint `/crm/create job submit.php`.

**Nome do Software Vulnerável e Versões Afetadas** Energy CRM versão 2025 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado devido à validação insuficiente de dados fornecidos pelo usuário. Um usuário remoto pode potencialmente enviar uma requisição maliciosa a um usuário autenticado, o que pode levar ao roubo de cookies de sessão. O problema é acionado ao enviar uma requisição POST para o endpoint ''/crm/create invoice submit.php'', utilizando especificamente o parâmetro `customerName 0`. **Recomendações** Aplique validação e sanitização de entrada ao parâmetro `customerName 0` no endpoint ''/crm/create invoice submit.php''.

**Nome do Software Vulnerável e Versões Afetadas** Viday (versões afetadas não especificadas) **Descrição** O software apresenta uma falha que pode permitir que um atacante obtenha informações sensíveis dos clientes. Isso é feito interceptando requisições HTTP e localizando JWTs no payload da requisição. Os JWTs contêm informações sensíveis do usuário, potencialmente expondo-as a acesso não autorizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenAtlas versão 8.9.0 **Descrição** O OpenAtlas é suscetível a um problema de cross-site scripting (XSS) causado por validação insuficiente da entrada de usuário recebida por meio de requisições POST. Isso poderia permitir que um usuário remoto enviasse requisições manipuladas a um usuário autenticado, potencialmente roubando detalhes de cookies de sessão. A vulnerabilidade ocorre no endpoint da API `/insert/person/<ID>`, especificamente através dos parâmetros `name` e `alias-0`. **Recomendações** Aplicar validação e sanitização de entrada aos parâmetros `name` e `alias-0` no endpoint da API `/insert/person/<ID>`.

**Nome do Software Vulnerável e Versões Afetadas** OpenAtlas versão 8.9.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no OpenAtlas devido à validação insuficiente da entrada do usuário recebida por meio de requisições POST. Isso poderia permitir que um usuário remoto enviasse consultas manipuladas para um usuário autenticado, potencialmente roubando detalhes dos cookies de sessão. A vulnerabilidade é acionada por meio do endpoint da API `/insert/file`, especificamente através dos parâmetros `creator` e `license holder`. **Recomendações** Garanta a validação e sanitização adequadas da entrada do usuário para os parâmetros `creator` e `license holder` no endpoint da API `/insert/file`.

**Nome do Software Vulnerável e Versões Afetadas** OpenAtlas versão 8.9.0 **Descrição** O OpenAtlas está suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) causada por validação insuficiente da entrada de usuário recebida por meio de requisições POST. Isso poderia permitir que um usuário remoto enviasse requisições manipuladas a um usuário autenticado, potencialmente roubando detalhes de cookies de sessão. A vulnerabilidade ocorre no endpoint da API `/insert/group`, especificamente através dos parâmetros `name` e `alias-0`. **Recomendações** Garanta a validação e sanitização adequadas da entrada de usuário para os parâmetros `name` e `alias-0` no endpoint da API `/insert/group`.

**Nome do Software Vulnerável e Versões Afetadas** OpenAtlas versão 8.9.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no OpenAtlas devido à validação insuficiente da entrada do usuário recebida através de requisições POST. Isso poderia permitir que um usuário remoto enviasse consultas manipuladas para um usuário autenticado, potencialmente roubando detalhes de cookies de sessão. A vulnerabilidade é acionada via endpoint da API `/insert/edition`, especificamente através do parâmetro `name`. **Recomendações** Garanta a validação e sanitização adequadas da entrada do usuário para o parâmetro `name` no endpoint da API `/insert/edition`.