Artem Brylev

**Nome do Software Vulnerável e Versões Afetadas** Sherpa Orchestrator versão 141851 **Descrição** A aplicação web não possui proteção contra ataques CSRF, permitindo que um atacante realize ataques XSS, adicione um novo usuário ou função, ou explore uma vulnerabilidade de injeção SQL. **Recomendações** Para o Sherpa Orchestrator versão 141851, considere implementar proteção contra ataques CSRF para prevenir a exploração. Como solução temporária, restrinja o acesso a funcionalidades sensíveis que possam ser exploradas através de ataques CSRF, como gerenciamento de usuários ou funções. Evite utilizar a aplicação web para operações sensíveis até que o problema de proteção CSRF seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sherpa Orchestrator versão 141851 **Descrição** Um usuário com baixos privilégios pode elevar seus privilégios criando novos usuários e funções. **Recomendações** Para o Sherpa Orchestrator versão 141851, considere restringir a capacidade de usuários com baixos privilégios de criar novos usuários e funções até que um patch esteja disponível. Como medida temporária, limite o acesso de usuários com baixos privilégios para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sherpa Orchestrator versão 141851 **Descrição** A falha permite ataques de XSS armazenado por um administrador através do parâmetro `name` ao adicionar ou atualizar licenças. A payload de XSS pode ser executada quando a licença expira. **Recomendações** Para o Sherpa Orchestrator versão 141851, evite utilizar o parâmetro `name` na funcionalidade de adição ou atualização de licenças até que uma correção esteja disponível. Como medida temporária, considere restringir o acesso à funcionalidade de gerenciamento de licenças para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Sherpa Orchestrator versão 141851 **Descrição** O problema permite que um usuário autenticado realize múltiplas injeções de SQL cegas baseadas em tempo. Isso afeta vários endpoints da API, incluindo "api/gui/asset/list", "api/gui/files/export/csv/", "api/gui/files/list", "api/gui/process/export/csv", "api/gui/process/export/xlsx", "api/gui/process/listAll", "api/gui/processVersion/export/csv/", "api/gui/processVersion/export/xlsx/", "api/gui/processVersion/list/", "api/gui/robot/list/", "api/gui/task/export/csv/", "api/gui/task/export/xlsx/", e "api/gui/task/list/". **Recomendações** Como solução temporária, considere restringir o acesso aos endpoints da API afetados até que um patch esteja disponível. Evite usar dados sensíveis nos endpoints afetados para minimizar o risco de exploração. Atualize para uma versão que inclua uma correção para este problema quando disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: TranzWare (POI) FIMI, versões anteriores à 4.2.20.4.2 Descrição: A vulnerabilidade permite a execução de Cross-Site Scripting (XSS) refletido no arquivo login tw.php. Isso pode levar à execução de scripts maliciosos no lado do cliente. Recomendações: Para versões anteriores à 4.2.20.4.2, atualize para a versão 4.2.20.4.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo login tw.php até que um patch seja aplicado.