Bergmania

**Nome do software vulnerável e versões afetadas** Versões 13.x do Umbraco anteriores à 13.5.2 Versões 10.x do Umbraco anteriores à 10.8.7 Versões 8.x do Umbraco anteriores à 8.18.15 **Descrição** Existe um risco potencial de execução de código para usuários do Backoffice quando eles “visualizam” arquivos SVG no modo de tela cheia. Esta vulnerabilidade permite a execução remota de código. **Recomendações** Para versões 13.x anteriores à 13.5.2, atualize para a versão 13.5.2 para resolver o problema. Para versões 10.x anteriores à 10.8.7, atualize para a versão 10.8.7 para resolver o problema. Para versões 8.x anteriores à 8.18.15, atualize para a versão 8.18.15 para resolver o problema. Como solução alternativa temporária, considere habilitar a validação de arquivos no lado do servidor para remover tags de script do conteúdo de um arquivo durante o processo de upload.

**Nome do software vulnerável e versões afetadas** Versões 13.x do Umbraco anteriores à 13.5.2 Versões 10.x do Umbraco anteriores à 10.8.7 **Descrição** O problema ocorre durante um logout explícito, quando a sessão do servidor não é totalmente encerrada. Isso afeta o Umbraco, um sistema de gerenciamento de conteúdo .NET gratuito e de código aberto. **Recomendações** Para as versões 13.x do Umbraco anteriores à 13.5.2, atualize para a versão 13.5.2 para resolver o problema. Para as versões 10.x do Umbraco anteriores à 10.8.7, atualize para a versão 10.8.7 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Umbraco anteriores à 14.1.2 **Descrição** O problema diz respeito ao Umbraco, um CMS ASP.NET, no qual alguns endpoints da API de gerenciamento podem retornar informações de rastreamento de pilha mesmo quando o Umbraco não está no modo de depuração. Isso pode ocorrer, por exemplo, ao paginar com números negativos em algumas APIs, levando ao vazamento de rastreamentos de pilha em caso de erros internos do servidor, independentemente de a configuração de depuração estar desativada. **Recomendações** Para versões anteriores à 14.1.2, atualize para a versão 14.1.2 para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints da API de gerenciamento que estão vazando informações de rastreamento de pilha até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Umbraco CMS anteriores à 14.1.2 **Descrição** A vulnerabilidade permite que um usuário autenticado acesse alguns pontos de extremidade não previstos. Isso ocorre porque alguns pontos de extremidade na API de gerenciamento do Umbraco não estavam devidamente protegidos, exigindo apenas autenticação. Como resultado, era possível recuperar informações desses pontos de extremidade usando um token de membro. **Recomendações** Para versões anteriores à 14.1.2, atualize para a versão 14.1.2 para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade não pretendidos na API de gerenciamento do Umbraco até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Umbraco versions 8.0.0 through 8.18.9 Umbraco versions 8.18.10 is not affected, but versions prior to 10.7.0 are affected, so Umbraco versions 10.0.0 through 10.6.9 Umbraco versions 12.0.0 through 12.0.9 **Description** A user with access to a specific part of the backoffice is able to inject HTML code into a form where it is not intended. This can be achieved by a person with access to the backoffice and the "users" section, who could send a user invite and inject HTML code into the invite message. **Recommendations** For Umbraco versions 8.0.0 through 8.18.9, update to version 8.18.10 or later. For Umbraco versions 10.0.0 through 10.6.9, update to version 10.7.0 or later. For Umbraco versions 12.0.0 through 12.0.9, update to version 12.1.0 or later.