Balejin

**Nome do Software Vulnerável e Versões Afetadas** Ays Pro Survey Maker versões até 5.1.8.8 **Descrição** Existe uma falha no Ays Pro Survey Maker que permite Cross-site Scripting (XSS) Armazenado. Este problema ocorre devido à neutralização inadequada de entrada durante a geração da página web. A exploração bem-sucedida poderia permitir que um invasor injetasse scripts maliciosos em páginas web visualizadas por outros usuários. O componente vulnerável é a funcionalidade do survey-maker. **Recomendações** Atualize o Ays Pro Survey Maker para uma versão superior à 5.1.8.8.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Sismics Teedy até a 1.11 **Descrição** Existe uma falha no Sismics Teedy que pode levar a controles de acesso inadequados. Este problema afeta o componente de endpoint da API e envolve especificamente o arquivo `/api/file` e uma função desconhecida. A vulnerabilidade pode ser explorada remotamente. Os detalhes do exploit foram divulgados publicamente. O fornecedor foi informado sobre o problema, mas não forneceu resposta. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** JhumanJ OpnForm versions up to 1.9.3 **Description** A flaw exists in JhumanJ OpnForm up to version 1.9.3 related to an unrestricted upload issue stemming from manipulation of an unknown functionality within the `/answer` file. This manipulation allows for remote exploitation. The exploit is publicly available. **Recommendations** Implement patch 95c3e23856465d202e6aec10bdb6ee0688b5305a to correct this issue.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma falha no JhumanJ OpnForm até a versão 1.9.3, especificamente no componente Form Editor. Esta questão envolve a manipulação do arquivo `/api/open/forms/`, resultando em Cross-Site Scripting. O ataque pode ser iniciado remotamente. O fabricante indicou que o recurso está desativado até que o usuário configure seu próprio domínio, o que mitigará o vetor de ataque. **Recomendações** Certifique-se de que um domínio personalizado esteja configurado para mitigar o vetor de ataque.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até 1.9.3 **Descrição** Existe uma ausência de verificação de autorização no endpoint da API responsável pelo gerenciamento de domínios personalizados, localizado em `/custom-domains`. Isso permite a manipulação não autorizada das configurações de domínios personalizados. A vulnerabilidade afeta código desconhecido dentro do arquivo `/custom-domains` do componente de Endpoint da API. O exploit foi divulgado publicamente. **Recomendações** Aplique o patch beb153ce52dceb971c1518f98333328c95f1ba20.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma falha no processamento do arquivo `/show/integrations` no JhumanJ OpnForm. A manipulação deste arquivo pode resultar na ausência de verificações de autorização, permitindo potencialmente uma exploração remota. O patch identificado como 11d97d78f2de2cb49f79baed6bde8b611ec1f384 corrige este problema. **Recomendações** Aplique o patch 11d97d78f2de2cb49f79baed6bde8b611ec1f384 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até 1.9.3 **Descrição** Existe uma vulnerabilidade de segurança no JhumanJ OpnForm relacionada à restrição inadequada de tentativas excessivas de autenticação. O problema está localizado no componente HTTP Header Handler e envolve a manipulação do argumento `X-Forwarded-For`. O ataque pode ser realizado remotamente e requer um alto grau de complexidade, embora a exploração seja descrita como difícil. O exploit está disponível publicamente. **Recomendações** Instale o patch 11e99960e14ca986b1a001a56e7533223d2cfa5b para corrigir este problema.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma falha de segurança no JhumanJ OpnForm. O problema envolve uma função desconhecida dentro do endpoint da API do componente e pode levar à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. Embora o fornecedor indique que as chamadas de API requerem autenticação via tokens Bearer de autorização, mitigando ataques CSRF clássicos, um atacante poderia explorar a falha se obtiver o JWT por outros meios, como scripting entre sites (XSS). O exploit foi divulgado publicamente. **Recomendações** Versões anteriores a 1.9.3 devem ser utilizadas.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma vulnerabilidade no JhumanJ OpnForm, potencialmente levando à exposição de informações. O problema origina-se de uma discrepância dentro do componente Manipulador de Senha Esquecida, especificamente relacionado ao arquivo `/api/password/email`. O ataque pode ser iniciado remotamente e é considerado de alta complexidade, com difícil exploração. O exploit está publicamente disponível e está relacionado ao problema #46465 do Laravel. A função vulnerável é desconhecida. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma falha no JhumanJ OpnForm que pode permitir controles de acesso inadequados. O problema está relacionado à manipulação de uma função desconhecida dentro do endpoint `/edit`. O exploit foi divulgado publicamente. **Recomendações** Aplique o patch b15e29021d326be127193a5dbbd528c4e37e6324 para resolver este problema.

**Nome do Software Vulnerável e Versões Afetadas** JhumanJ OpnForm versões até a 1.9.3 **Descrição** Existe uma vulnerabilidade de segurança no JhumanJ OpnForm que permite Cross-Site Scripting. Isso afeta uma funcionalidade desconhecida dentro do arquivo `/show/submissions`. O ataque pode ser iniciado remotamente e foi divulgado publicamente. **Recomendações** Aplique o patch com o identificador a2af1184e53953afa8cb052f4055f288adcaa608.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Koillection até a 1.6.18 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no Koillection. O problema está relacionado a uma função desconhecida dentro do arquivo `assets/controllers/csrf protection controller.js`. Esta manipulação pode ser executada remotamente. O exploit foi divulgado publicamente. O fornecedor resolveu essa questão ao migrar para um mecanismo de tratamento de CSRF mais novo e sem estado. **Recomendações** Atualize para a versão 1.7.0 para corrigir este problema.