Arjen Van Bochoven

**Nome do software vulnerável e versões afetadas** Versões do MunkiReport anteriores à 5.6.3 **Descrição** Uma vulnerabilidade CSRF no endpoint “manager/delete machine/{id}” permite que invasores excluam máquinas arbitrárias do banco de dados do MunkiReport. **Recomendações** Para versões anteriores à 5.6.3, atualize para a versão 5.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “manager/delete machine/{id}” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do MunkiReport anteriores à 2.6 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) que permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio dos dois últimos parâmetros da URL, que informam os nomes e as versões dos pacotes instalados. **Recomendações** Para versões anteriores à 2.6, atualize para a versão 2.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo managedinstalls até que um patch esteja disponível. Evite usar os dois últimos parâmetros da URL no módulo afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do MunkiReport anteriores à 4.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no módulo de comentários, permitindo que invasores remotos injetem scripts da Web ou HTML arbitrários ao publicar um novo comentário. **Recomendações** Para versões anteriores à 4.0, atualize para a versão 4.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do MunkiReport anteriores à 5.3.0 **Descrição** Uma vulnerabilidade permite que um agente autenticado envie uma carga XSS personalizada através do endpoint “/module/comment/save”. A carga será executada por qualquer usuário autenticado que esteja navegando no aplicativo. Esta vulnerabilidade está relacionada ao arquivo app/controllers/client.php:detail. **Recomendações** Para versões anteriores à 5.3.0, atualize para a versão 5.3.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint “/module/comment/save” até que um patch esteja disponível. Evite usar a funcionalidade vulnerável no arquivo app/controllers/client.php:detail até que a vulnerabilidade seja resolvida.