Bruno Barreirinhas

**Nome do software vulnerável e versões afetadas** Orchardproject Orchard CMS versão 1.10.3 **Descrição** A vulnerabilidade permite que um usuário com privilégios limitados, como um autor ou editor, insira código HTML e JavaScript malicioso em uma postagem de blog. Isso leva à apropriação total da conta de administrador ou à escalada de privilégios quando a postagem maliciosa é carregada no navegador da vítima. **Recomendações** Para o Orchardproject Orchard CMS versão 1.10.3, atualize para uma versão que corrija a vulnerabilidade de Cross Site Scripting (XSS) para evitar a apropriação da conta de administrador ou a escalada de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PyroCMS versão 3.9 **Descrição** A vulnerabilidade permite que um usuário com privilégios limitados, como um autor, insira código HTML e JavaScript malicioso em uma postagem de blog, levando à apropriação total da conta de administrador ou à escalada de privilégios. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS) armazenada. **Recomendações** Para o PyroCMS versão 3.9, considere restringir a capacidade de usuários com privilégios limitados de injetar código HTML e JavaScript em postagens de blog até que uma correção esteja disponível. Como solução alternativa temporária, desativar o recurso de postagem de blog para usuários com privilégios limitados pode ajudar a minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** DotNetNuke (DNN) versão 9.9.1 **Descrição** O problema diz respeito a uma vulnerabilidade de Stored Cross-Site Scripting na seção de biografia do perfil do usuário. Isso permite que usuários remotos autenticados injetem código arbitrário por meio de uma carga maliciosa. **Recomendações** Para o DotNetNuke (DNN) versão 9.9.1, como solução temporária, considere restringir o acesso à seção de biografia do perfil do usuário até que uma correção esteja disponível. Evite usar a seção de biografia nos perfis de usuário para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.