Carl Pearson

**Nome do Software Vulnerável e Versões Afetadas** Firefox versões anteriores a 152 Firefox ESR versões anteriores a 140.12 Thunderbird versões anteriores a 152 Thunderbird versões anteriores a 140.12 **Description** Um erro de segurança de memória existe no software, o que pode levar a comportamentos inesperados ou falhas ao lidar com operações de memória. **Recommendations** Atualize o Firefox para a versão 152. Atualize o Firefox ESR para a versão 140.12. Atualize o Thunderbird para a versão 152. Atualize o Thunderbird para a versão 140.12.

**Nome do Software Vulnerável e Versões Afetadas** Post SMTP – Solução SMTP Completa com Logs, Alertas, SMTP de Backup e Aplicativo Móvel versões anteriores à 3.6.1 **Descrição** O plugin Post SMTP para WordPress possui uma falha devido à ausência de uma verificação de permissões dentro da função ` construct`. Isso permite que atacantes não autenticados acessem e-mails registrados em log, potencialmente incluindo e-mails de redefinição de senha com links que poderiam levar à tomada de controle da conta. Aproximadamente 400.000 sites WordPress utilizando este plugin estão potencialmente afetados. Tentativas de exploração foram observadas em ambiente real, com mais de 4.500 tentativas bloqueadas pela Wordfence desde 1 de novembro de 2025. A vulnerabilidade permite que atacantes leiam quaisquer e-mails registrados em log enviados através do plugin Post SMTP. A função ` construct` exibe diretamente o conteúdo do e-mail registrado sem realizar verificações de permissões, permitindo acesso não autorizado. **Recomendações** Versões anteriores à 3.6.1 devem ser atualizadas para a versão 3.6.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Everest Backup – Plugin de Backup na Nuvem, Migração, Restauração e Clonagem para WordPress, versões anteriores à 2.3.6 **Descrição** O plugin Everest Backup para WordPress permite acesso não autorizado a dados devido à falta de uma verificação de permissão na ação AJAX `everest process status`. Isso permite que atacantes não autenticados recuperem os caminhos dos arquivos de backup, que podem então ser acessados e baixados. Isso requer que um backup esteja em execução para que um atacante recupere o local do backup. **Recomendações** Atualize para a versão 2.3.6 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Microsoft Outlook (affected versions not specified) **Description** The issue is related to insufficient protection of internal data in Microsoft Outlook, allowing a remote attacker to gain unauthorized access to protected information. This can lead to the disclosure of sensitive information. There is no information provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** cloud-init versions prior to 21.2 cloud-init versions prior to 21.1.19 **Description** When instructing cloud-init to set a random password for a new user account, the password would be written to the world-readable log file /var/log/cloud-init-output.log. This could allow a local user to log in as another user. **Recommendations** For versions prior to 21.2, update to version 21.2 or later to resolve the issue. For versions prior to 21.1.19, update to version 21.1.19 or later to resolve the issue. As a temporary workaround, consider restricting access to the /var/log/cloud-init-output.log file to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Desktop Client anteriores à 3.3.1 **Descrição** O problema está relacionado à falta de verificação do certificado SSL ao utilizar o fluxo “Registrar-se com um provedor” no Nextcloud Desktop Client, permitindo que um invasor remoto comprometa a integridade dos dados. **Recomendações** Para versões anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o fluxo “Registrar-se com um provedor” até que uma correção esteja disponível. Restrinja o acesso ao fluxo afetado para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Server versions prior to 14.0.0 **Description** A missing check in the software could give unauthorized access to the previews of single file password protected shares. **Recommendations** For versions prior to 14.0.0, update to version 14.0.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Server versions prior to 11.0.7 Nextcloud Server versions prior to 12.0.5 **Description** The issue is related to an Authorization Bypass Through User-Controlled Key. A missing ownership check allowed logged-in users to change the scope of app passwords of other users. However, the app passwords themselves were neither disclosed nor could the error be misused to identify as another user. **Recommendations** For Nextcloud Server versions prior to 11.0.7, update to version 11.0.7 or later. For Nextcloud Server versions prior to 12.0.5, update to version 12.0.5 or later.