Casey Erdmann

**Nome do software vulnerável e versões afetadas** AdTran Personal Phone Manager, versões 10.8.1 e anteriores **Descrição** O software AdTran Personal Phone Manager está vulnerável a uma falha de cross-site scripting (XSS) armazenado e autenticado. Essa falha afeta as versões 10.8.1 e anteriores, e potencialmente também versões posteriores, uma vez que ainda não foram divulgadas. Os dispositivos afetados, NetVanta 7060 e NetVanta 7100, são considerados em fim de vida útil e não receberão correções. **Recomendações** Para as versões 10.8.1 e anteriores, como os dispositivos afetados estão no fim da vida útil e não receberão correção, considere desativar o software ou restringir o acesso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** AdTran Personal Phone Manager, versões 10.8.1 e anteriores **Descrição** O software AdTran Personal Phone Manager está vulnerável a várias falhas de cross-site scripting (XSS) refletido. Essas falhas afetam as versões 10.8.1 e anteriores, e potencialmente também versões posteriores, uma vez que não foram divulgadas anteriormente. Os dispositivos afetados, NetVanta 7060 e NetVanta 7100, são considerados em fim de vida útil e não receberão correções. **Recomendações** Para as versões 10.8.1 e anteriores, considere desativar quaisquer recursos que possam ser suscetíveis a ataques de cross-site scripting até que uma correção esteja disponível; no entanto, como os dispositivos afetados estão no fim da vida útil, não será fornecida uma correção. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** AdTran Personal Phone Manager versão 10.8.1 **Descrição** A vulnerabilidade permite a exfiltração de dados via DNS, possibilitando que servidores web do AdTran Personal Phone Manager expostos sejam utilizados como redirecionadores DNS para canalizar dados arbitrários através do DNS. Os dispositivos afetados, NetVanta 7060 e NetVanta 7100, são considerados em fim de vida útil e não receberão uma correção para este problema. **Recomendações** Para o AdTran Personal Phone Manager versão 10.8.1, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Liferay Portal CE, versões 7.1.0 a 7.2.1 GA2 **Descrição** Os campos “Nome”, “Nome do meio” e “Sobrenome” das contas de usuário no MyAccountPortlet estão vulneráveis a uma falha de XSS persistente. Qualquer usuário pode modificar esses campos com uma carga de XSS específica, e ela será armazenada no banco de dados. A carga será então renderizada quando um usuário utilizar o recurso de pesquisa para procurar outros usuários, especificamente se um usuário com campos modificados aparecer nos resultados da pesquisa. **Recomendações** Para as versões 7.1.0 a 7.2.1 GA2, atualize para o Liferay Portal CE versão 7.3.0 GA1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao MyAccountPortlet ou desativar o recurso de pesquisa até que um patch esteja disponível. Evite usar os campos `First Name`, `Middle Name` e `Last Name` no MyAccountPortlet até que o problema seja resolvido.