C3L3Si4N

**Name of the Vulnerable Software and Affected Versions** Order GLPI plugin versions 1.8.0 through 2.7.6 Order GLPI plugin versions 2.8.0 through 2.10.0 **Description** The issue allows an authenticated user with access to the standard interface to craft a URL that can execute a system command. **Recommendations** For Order GLPI plugin versions 1.8.0 through 2.7.6, update to version 2.7.7. For Order GLPI plugin versions 2.8.0 through 2.10.0, update to version 2.10.1. As a temporary workaround, consider deleting the `ajax/dropdownContact.php` file from the plugin.

**Name of the Vulnerable Software and Affected Versions** GLPI versions 9.4.0 through 10.0.5 **Description** The issue is related to Cross-site Scripting (XSS) due to improper neutralization of input data during web page generation. An attacker can exploit this by persuading a victim to open a URL containing a malicious payload, allowing the attacker to perform actions as the victim or exfiltrate session cookies. **Recommendations** For GLPI versions 9.4.0 through 10.0.5, update to version 10.0.6 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Versões do FreshRSS anteriores à 1.20.2 **Descrição** O FreshRSS é um agregador de RSS gratuito que pode ser hospedado localmente. Os arquivos de configuração do usuário podem ser acessados por um usuário remoto. Além das preferências do usuário, essas configurações contêm senhas com hash da interface web do FreshRSS. Se a API for utilizada, a configuração pode conter uma senha com hash da API do GReader e uma senha com hash da API do Fever. **Recomendações** Para versões anteriores à 1.20.2, atualize para a versão 1.20.2 ou edge. Para usuários que não possam atualizar, aplique o patch manualmente ou exclua o arquivo `./FreshRSS/p/ext.php`.