Catch

**Nome do Software Vulnerável e Versões Afetadas** Drupal core versões 8.9.0 até 10.4.9 Drupal core versões 10.5.0 até 10.5.9 Drupal core versões 10.6.0 até 10.6.8 Drupal core versões 11.0.0 até 11.1.9 Drupal core versões 11.2.0 até 11.2.11 Drupal core versões 11.3.0 até 11.3.9 **Description** Uma falha de injeção de SQL não autenticada existe na API de abstração de banco de dados do Drupal core, especificamente no manipulador de condição `EntityQuery` do PostgreSQL. O problema ocorre quando chaves de array associativo PHP controladas pelo invasor, como `filter[...][condition][value][malicious key]`, são concatenadas diretamente em identificadores SQL sem a sanitização adequada. Isso permite que usuários anônimos remotos executem comandos SQL arbitrários em sites que utilizam bancos de dados PostgreSQL. A exploração bem-sucedida pode levar ao acesso total ao banco de dados, exfiltração de dados sensíveis e tokens de sessão, escalonamento de privilégios para Administrador e, potencialmente, execução remota de código (RCE) se as permissões do banco de dados estiverem mal configuradas (por exemplo, permitindo `COPY FROM PROGRAM`). Esta falha foi explorada ativamente, com mais de 15.000 sondagens de ataque detectadas em aproximadamente 6.000 sites em 65 países, visando principalmente serviços financeiros e de jogos. **Recommendations** Atualizar para a versão 10.4.10 para versões anteriores a 10.4.10. Atualizar para a versão 10.5.10 para versões anteriores a 10.5.10. Atualizar para a versão 10.6.9 para versões anteriores a 10.6.9. Atualizar para a versão 11.1.10 para versões anteriores a 11.1.10. Atualizar para a versão 11.2.12 para versões anteriores a 11.2.12. Atualizar para a versão 11.3.10 para versões anteriores a 11.3.10. Restringir as funções de usuário que possuem a capacidade de atualizar modelos Twig via Views ou módulos contribuídos. Direcionar o tráfego de produção através de um Web Application Firewall (WAF) para filtrar assinaturas de payloads de arrays aninhados maliciosos como mitigação temporária. Revisar os logs do PostgreSQL e do WAF em busca de consultas incomuns de usuários anônimos ou modificações estruturais de consultas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma verificação inadequada para condições incomuns ou excepcionais no core do Drupal, permitindo navegação forçada. Este problema afeta a capacidade do software de lidar com entradas ou situações inesperadas, podendo resultar em acesso não autorizado ou divulgação de informações. **Recomendações** Atualize o core do Drupal para a versão 10.4.9 ou posterior. Atualize o core do Drupal para a versão 10.5.6 ou posterior. Atualize o core do Drupal para a versão 11.1.9 ou posterior. Atualize o core do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma falha no núcleo do Drupal relacionada ao uso de um cache do navegador web que pode conter informações sensíveis. Isso ocorre devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o núcleo do Drupal para a versão 10.4.9 ou posterior. Atualize o núcleo do Drupal para a versão 10.5.6 ou posterior. Atualize o núcleo do Drupal para a versão 11.1.9 ou posterior. Atualize o núcleo do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.7 **Descrição** O núcleo do Drupal contém uma modificação inadequadamente controlada de atributos de objeto determinados dinamicamente, resultando em Injeção de Objetos. Isso permite a potencial manipulação de objetos dentro do sistema. **Recomendações** Atualize o núcleo do Drupal para a versão 10.4.9 ou posterior. Atualize o núcleo do Drupal para a versão 10.5.6 ou posterior. Atualize o núcleo do Drupal para a versão 11.1.9 ou posterior. Atualize o núcleo do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma falha no núcleo do Drupal que permite a falsificação de conteúdo por meio de uma representação incorreta de informações críticas na interface do usuário. Este problema afeta a exibição de conteúdo dentro da aplicação. **Recomendações** Atualize o núcleo do Drupal para a versão 10.4.9 ou posterior. Atualize o núcleo do Drupal para a versão 10.5.6 ou posterior. Atualize o núcleo do Drupal para a versão 11.1.9 ou posterior. Atualize o núcleo do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal core 8.0.0 até 10.3.12 Versões do Drupal core 10.4.0 até 10.4.2 Versões do Drupal core 11.0.0 até 11.0.11 Versões do Drupal core 11.1.0 até 11.1.2 **Descrição** O problema afeta o Drupal core, permitindo Cross-Site Scripting (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. **Recomendações** Para as versões 8.0.0 até 10.3.12, atualize para a versão 10.3.13 ou posterior. Para as versões 10.4.0 até 10.4.2, atualize para a versão 10.4.3 ou posterior. Para as versões 11.0.0 até 11.0.11, atualize para a versão 11.0.12 ou posterior. Para as versões 11.1.0 até 11.1.2, atualize para a versão 11.1.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Ignition Error Pages versões 0.0.0 a 1.0.3 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting (XSS), no Drupal Ignition Error Pages. Isso possibilita ataques de Cross-Site Scripting (XSS). **Recomendações** Para as versões 0.0.0 a 1.0.3 do Ignition Error Pages, atualize para a versão 1.0.4 ou posterior para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: Intel SGX (versões afetadas não especificadas) Descrição: O problema é um ataque de canal lateral de temporização contra enclaves Intel SGX, o que pode levar ao comprometimento total da atestação do Ambiente de Execução Confiável (TEE). Uma prova de conceito (PoC) demonstrou a extração de chaves em menos de 4 segundos. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Opigno group manager de 0.0.0 a 3.1.1 **Descrição** O problema está relacionado à neutralização inadequada de diretivas em código salvo estaticamente, também conhecida como 'injeção de código estático', o que permite Inclusão de Arquivo Local em PHP no Opigno group manager. **Recomendações** Para as versões do Opigno group manager de 0.0.0 a 3.1.1, atualize para uma versão superior à 3.1.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** CKEditor 4 LTS - Editor HTML WYSIWYG versões 1.0.0 a 1.0.0 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, permitindo Cross-Site Scripting (XSS). Isso possibilita que atacantes injetem scripts maliciosos em websites, podendo levar a acesso não autorizado ou controle. **Recomendações** Para o CKEditor 4 LTS - Editor HTML WYSIWYG versão 1.0.0, atualize para a versão 1.0.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Opigno TinCan Question Type versões 7.X-1.0 até 7.X-1.2 **Descrição** O problema está relacionado à neutralização inadequada de diretivas em código salvo estaticamente, também conhecida como 'Injeção de Código Estático', o que permite Inclusão de Arquivo Local em PHP. Isso pode potencialmente ser explorado para acessar arquivos sensíveis no servidor. **Recomendações** Para o Opigno TinCan Question Type versões 7.X-1.0 até 7.X-1.2, atualize para a versão 7.X-1.3 ou posterior para resolver o problema.

Nome do software vulnerável e versões afetadas: Versões do Drupal Core 8.8.0 a 10.2.11 Versões do Drupal Core 10.3.0 a 10.3.9 Versões do Drupal Core 11.0.0 a 11.0.8 Descrição: O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor realize um ataque de cross-site scripting (XSS). Isso se deve à neutralização inadequada da entrada durante a geração da página da web, o que possibilita o cross-site scripting. O problema afeta o Drupal Core, permitindo que invasores explorem essa falha e levando a um XSS. Recomendações: Para as versões do Drupal Core 8.8.0 a 10.2.11, atualize para a versão 10.2.11 ou posterior. Para as versões do Drupal Core 10.3.0 a 10.3.9, atualize para a versão 10.3.9 ou posterior. Para as versões do Drupal Core 11.0.0 a 11.0.8, atualize para a versão 11.0.8 ou posterior. Como solução temporária, considere restringir o uso de JavaScript para renderizar mensagens de status em certos casos e configurações, a fim de minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do Drupal Core 10.0.0 a 10.2.9 Descrição: Uma vulnerabilidade no Drupal Core permite a manipulação de arquivos. Esse problema está relacionado a falhas no tratamento de situações de erro, o que poderia permitir que um invasor remoto comprometesse a integridade de informações protegidas. Em determinadas configurações incomuns do site, um bug no módulo CKEditor 5 pode fazer com que alguns uploads de imagens movam toda a raiz do site para um local diferente no sistema de arquivos, permitindo potencialmente que um usuário mal-intencionado derrube o site. O problema é mitigado pelo fato de que várias configurações não padrão do site devem existir simultaneamente para que isso ocorra. Recomendações: Para as versões 10.0.0 a 10.2.9 do Drupal Core, atualize para a versão 10.2.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo CKEditor 5 para minimizar o risco de exploração. Evite usar o módulo para uploads de imagens até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Drupal Opigno, versões 7.X-1.0 a 7.X-1.23 **Descrição** O problema está relacionado à neutralização inadequada de diretivas em código salvo estaticamente, também conhecida como “injeção de código estático”, o que permite a inclusão de arquivos locais em PHP. Isso pode ser explorado por um invasor remoto para executar código arbitrário. **Recomendações** Para as versões 7.X-1.0 a 7.X-1.23, atualize para a versão 7.X-1.23 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do módulo Opigno de 0.0.0 a 3.1.2 **Descrição** O problema está relacionado à neutralização inadequada de diretivas em código salvo estaticamente, também conhecida como “injeção de código estático”, o que pode levar à inclusão de arquivos locais em PHP. Isso permite que um invasor remoto execute código arbitrário. **Recomendações** Para as versões do módulo Opigno de 0.0.0 a 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo Opigno até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Opigno Learning Path, versões 0.0.0 a 3.1.2 **Descrição** O problema está relacionado à neutralização inadequada de diretivas em código salvo estaticamente, também conhecida como “injeção de código estático”, o que permite a inclusão de arquivos locais em PHP. Isso pode permitir que um invasor remoto execute código arbitrário. A vulnerabilidade está associada a erros no processamento de dados de entrada durante a análise de sintaxe do código. **Recomendações** Para as versões 0.0.0 a 3.1.2 do Opigno Learning Path, atualize para uma versão posterior à 3.1.2 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.