Bruno Menna

**Nome do software vulnerável e versões afetadas** Huly Platform versão 0.6.295 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário ao enviar um arquivo HTML malicioso para um grupo de bate-papo, o que pode levar à execução de código. **Recomendações** Para a versão 0.6.295 da Plataforma Huly, considere restringir o envio de arquivos HTML para grupos de bate-papo até que uma correção esteja disponível. Como solução temporária, desativar o recurso de envio de arquivos nos grupos de bate-papo pode ajudar a minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Huly Platform versão 0.6.295 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário ao enviar um arquivo HTML malicioso para a página de comentários do rastreador, o que pode levar à execução de código. **Recomendações** Para a versão 0.6.295 da Plataforma Huly, considere restringir o acesso ao recurso de upload de arquivos na página de comentários do rastreador até que uma correção esteja disponível. Como solução temporária, evite usar a funcionalidade de upload de arquivos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Volmarg Personal Management System versão 1.4.64 **Descrição** A vulnerabilidade diz respeito a um ataque de script entre sites (XSS) armazenado, por meio do upload de um arquivo SVG que contém código JavaScript incorporado. Isso permite a possível execução de scripts maliciosos quando o arquivo enviado é acessado. **Recomendações** Para o Volmarg Personal Management System versão 1.4.64, considere desativar o upload de arquivos SVG ou restringir a execução de código JavaScript dentro dos arquivos enviados até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Volmarg Personal Management System versão 1.4.64 **Descrição** O Volmarg Personal Management System está vulnerável a ataques de falsificação de solicitação do lado do servidor (SSRF) por meio do upload de um arquivo SVG. Isso permite que o servidor envie solicitações HTTP e DNS não intencionais a um servidor controlado pelo invasor. **Recomendações** Para a versão 1.4.64, considere desativar o recurso de upload de arquivos SVG até que uma correção esteja disponível para evitar solicitações HTTP e DNS indesejadas. Restrinja o acesso ao módulo afetado para minimizar o risco de exploração. Evite usar o recurso vulnerável no sistema afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Huly Platform versão 0.6.202 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio do envio de um arquivo SVG malicioso para tickets, o que é resultado de uma vulnerabilidade de Cross Site Scripting. **Recomendações** Para a versão 0.6.202 da Huly Platform, considere restringir o upload de arquivos SVG para tickets até que uma correção esteja disponível. Como solução alternativa temporária, desativar a capacidade de enviar arquivos para tickets pode ajudar a minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Leantime versão 3.0.6 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio do envio de um arquivo PDF malicioso para o endpoint “files/browse”. Isso possibilita a execução de scripts maliciosos, podendo levar a acesso não autorizado ou manipulação de dados. **Recomendações** Para a versão 3.0.6 do Leantime, considere desativar o recurso de upload de arquivos para o endpoint “files/browse” até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos nesta versão até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Twenty versão 0.3.0 **Descrição** A plataforma CRM está vulnerável a falsificação de solicitação do lado do servidor (SSRF) por meio do upload de arquivos. Essa vulnerabilidade permite que um invasor possa acessar recursos internos ou realizar solicitações não autorizadas. **Recomendações** Para a versão 0.3.0, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir a exploração da vulnerabilidade SSRF. Restrinja o acesso a recursos internos confidenciais para minimizar o risco de acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Twenty versão 0.3.0 **Descrição** A plataforma de CRM está vulnerável a um ataque de cross-site scripting armazenado por meio do upload de arquivos. Um arquivo SVG especialmente criado pode desencadear a execução de código JavaScript. **Recomendações** Para a versão 0.3.0, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível. Restrinja o acesso aos arquivos enviados para minimizar o risco de exploração. Evite usar a funcionalidade de upload de arquivos com arquivos SVG até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Leantime versão 3.0.6 **Descrição** Uma vulnerabilidade de Cross Site Scripting permite que um invasor remoto execute código arbitrário por meio do parâmetro `to-do title`. Isso permite que o invasor realize ações não autorizadas no sistema afetado. **Recomendações** Para a versão 3.0.6 do Leantime, como solução temporária, considere restringir o uso do parâmetro `to-do title` até que uma correção esteja disponível. Evite usar o parâmetro `to-do title` em pontos de extremidade de API afetados ou campos de entrada do usuário para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** hcengineering Huly Platform versão 0.6.202 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio do envio de um arquivo SVG malicioso, explorando uma vulnerabilidade do tipo Server Side Request Forgery (SSRF). **Recomendações** Para a versão 0.6.202, considere restringir o upload de arquivos SVG ou implementar uma validação para impedir o upload de arquivos maliciosos até que uma correção esteja disponível. Como solução temporária, desativar o recurso de upload de arquivos SVG pode ajudar a minimizar o risco de exploração.