Antonio Scibilia

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.3 **Descrição** O problema diz respeito à injeção de modelo armazenada no lado do cliente. Ele afeta o endpoint ‘/knowage/restful-services/signup/update’ por meio do parâmetro `name`. **Recomendações** Para o Knowage Suite versão 7.3, considere desativar o acesso ao endpoint ‘/knowage/restful-services/signup/update’ até que uma correção esteja disponível. Como solução temporária, restrinja o uso do parâmetro `name` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.3 **Descrição** A vulnerabilidade diz respeito a Stored Cross-Site Scripting (XSS), em que um invasor pode injetar um script web arbitrário no endpoint da API “/knowage/restful-services/signup/update” por meio do parâmetro `surname`. Isso permite a execução de scripts maliciosos no lado do cliente. **Recomendações** Para o Knowage Suite versão 7.3, como solução temporária, considere restringir o acesso ao endpoint da API “/knowage/restful-services/signup/update” ou evite usar o parâmetro `surname` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.3 **Descrição** A vulnerabilidade diz respeito a Stored Cross-Site Scripting (XSS), em que um invasor pode injetar scripts web arbitrários no endpoint da API “/knowage/restful-services/documentnotes/saveNote” por meio do parâmetro `nota`. Isso permite a execução de scripts maliciosos no navegador da vítima. **Recomendações** Para o Knowage Suite versão 7.3, como solução temporária, considere restringir o acesso ao endpoint da API “/knowage/restful-services/documentnotes/saveNote” para minimizar o risco de exploração. Evite usar o parâmetro `nota` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.3 **Descrição** O problema diz respeito a um ataque de script entre sites (XSS) refletido sem autenticação. Um invasor pode injetar um script web arbitrário em “/servlet/AdapterHTTP” por meio do parâmetro `targetService`. **Recomendações** Para o Knowage Suite versão 7.3, considere desativar o acesso ao endpoint “/servlet/AdapterHTTP” até que uma correção esteja disponível e restrinja o uso do parâmetro `targetService` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.1 **Descrição** Existe uma vulnerabilidade de injeção de SQL no componente de execução de documentos/análise de URL do Knowage Suite, por meio do parâmetro `par year`, ao executar um relatório. **Recomendações** Para o Knowage Suite versão 7.1, evite usar o parâmetro `par year` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Knowage Suite anteriores à 7.4 **Descrição** A vulnerabilidade permite que um invasor injete código web arbitrário em “/restful-services/publish” por meio do parâmetro `EXEC FROM`, o que pode levar ao vazamento de dados. Trata-se de um caso de cross-site scripting (XSS) refletido. **Recomendações** Para versões anteriores à 7.4, atualize para a versão 7.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/restful-services/publish” para minimizar o risco de exploração. Evite usar o parâmetro `EXEC FROM` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Knowage Suite versão 7.1 **Descrição** Existe uma vulnerabilidade de injeção de HTML armazenado, permitindo que um invasor injete código HTML arbitrário no endpoint da API “/restful-services/2.0/analyticalDrivers” por meio dos parâmetros `LABEL` e `NAME`. **Recomendações** Para o Knowage Suite versão 7.1, considere restringir o acesso ao endpoint da API “/restful-services/2.0/analyticalDrivers” até que uma correção esteja disponível e evite usar os parâmetros `LABEL` e `NAME` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões do Knowage Suite anteriores à 7.4 **Descrição** A vulnerabilidade permite que um invasor injete scripts externos arbitrários por meio do parâmetro `SBI HOST` no endpoint da API “/knowagecockpitengine/api/1.0/pages/execute”, levando a um ataque de script entre sites (XSS). **Recomendações** Para versões anteriores à 7.4, como solução temporária, considere restringir o acesso ao endpoint da API “/knowagecockpitengine/api/1.0/pages/execute” e evite usar o parâmetro `SBI HOST` até que uma correção esteja disponível. Atualize para a versão 7.4 ou posterior para resolver o problema.