Charalampos Maraziaris

**Name of the Vulnerable Software and Affected Versions** Squidex versions prior to 7.9.0 **Description** The issue allows for XSS via an SVG document to the Upload Assets feature. This occurs because there is an incomplete blacklist in the SVG inspection, allowing JavaScript in the `SRC` attribute of an `IFRAME` element. An authenticated attack with `assets.create` permission is required for exploitation. **Recommendations** For versions prior to 7.9.0, update to version 7.9.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the Upload Assets feature or disabling the SVG inspection to minimize the risk of exploitation. Restrict access to the `assets.create` permission to prevent authenticated attacks.

**Nome do software vulnerável e versões afetadas** Versões do Snipe-IT anteriores à 6.0.14 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) na funcionalidade “View Assigned Assets”. Isso significa que um invasor poderia injetar scripts maliciosos no site, os quais seriam então executados pelo navegador do usuário. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 6.0.14, atualize para a versão 6.0.14 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso “View Assigned Assets” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Snipe-IT versões 6.0.14 e anteriores **Descrição** A vulnerabilidade permite que invasores determinem se uma conta de usuário existe, devido a variações nas respostas a uma solicitação “/password/reset”. Isso pode ser explorado através da análise das diferentes respostas recebidas do sistema. **Recomendações** Para as versões 6.0.14 e anteriores do Snipe-IT, como solução temporária, considere restringir o acesso ao endpoint “/password/reset” até que uma correção esteja disponível. Além disso, monitore de perto a atividade das contas de usuário para detectar quaisquer tentativas potenciais de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.