Bogdan Tiron

**Nome do software vulnerável e versões afetadas** Kaspersky Security 8.0 para servidor de e-mail Linux **Descrição** A vulnerabilidade permite que um invasor possa forçar um administrador a clicar em um link malicioso para realizar ações não autorizadas. Isso se deve à falta de medidas para neutralizar elementos especiais, que podem ser explorados por um invasor remoto. **Recomendações** Para o Kaspersky Security 8.0 para servidor de e-mail Linux, considere desativar qualquer funcionalidade que possa levar os administradores a clicar em links maliciosos até que uma correção esteja disponível. Restrinja o acesso a componentes potencialmente vulneráveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Concrete CMS (previously concrete5) versions 8.5.12 and below Concrete CMS (previously concrete5) versions 9.0 through 9.1.3 **Description** The issue is related to Reflected XSS on the Reply form because the `msgID` was not sanitized. This allows for potential exploitation. **Recommendations** For versions 8.5.12 and below, update to version 9.2 or later. For versions 9.0 through 9.1.3, update to version 9.2 or later. As a temporary workaround, consider restricting access to the Reply form until a patch is available. Avoid using the `msgID` parameter in the affected Reply form endpoint until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões 8.5.7 e anteriores Versões 9.0 a 9.0.2 **Descrição** O problema está relacionado à sanitização insuficiente na geração de URLs, o que pode ser explorado para ataques XSS ao usar um navegador mais antigo com a proteção XSS integrada desativada. Isso não pode ser explorado em navegadores modernos devido a um mecanismo automático de escape de entrada. O endpoint da API “/dashboard/blocks/stacks/view details/” está afetado. **Recomendações** Para as versões 8.5.7 e anteriores do Concrete, atualize para uma versão superior à 8.5.7 para resolver o problema. Para as versões 9.0 a 9.0.2 do Concrete, atualize para uma versão superior à 9.0.2 para resolver o problema. Como solução temporária, considere desativar o uso do endpoint “/dashboard/blocks/stacks/view details/” em navegadores mais antigos até que um patch esteja disponível.