Chen Ruiqi

**Nome do software vulnerável e versões afetadas** Versões 4.4 e anteriores do Ovirt **Descrição** Foi encontrada uma falha na interface web do Ovirt Engine, na qual os parâmetros controláveis pelo usuário não eram filtrados completamente, resultando em um ataque de cross-site scripting refletido. Essa falha permite que um invasor realize um ataque de phishing, roube cookies ou outras informações confidenciais de um usuário desavisado, ou se faça passar por ele dentro do contexto do aplicativo. **Recomendações** Para as versões 4.4 e anteriores do ovirt, atualize para uma versão que inclua a correção para este problema, a fim de evitar ataques de cross-site scripting refletido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** oVirt-engine versões 4.4 e anteriores **Descrição** A vulnerabilidade permite que invasores remotos redirecionem usuários para sites arbitrários e tentem ataques de phishing. Assim que o alvo abre a URL maliciosa em seu navegador, a parte crítica da URL deixa de ser visível. A maior ameaça dessa vulnerabilidade é à confidencialidade. Ela está relacionada ao uso de redirecionamento aberto, que pode ser explorado por um invasor remoto para redirecionar um usuário a um link especialmente criado. **Recomendações** Para as versões 4.4 e anteriores, atualize para uma versão posterior à 4.4 para resolver o problema. No momento, não há informações sobre outras correções específicas para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do NETGEAR WC7500 anteriores à 6.5.3.9 Versões do NETGEAR WC7520 anteriores à 6.5.3.9 Versões do NETGEAR WC7600v1 anteriores à 6.5.3.9 Versões do NETGEAR WC7600v2 anteriores à 6.5.3.9 **Descrição** A vulnerabilidade permite a injeção de comandos por um invasor não autenticado. **Recomendações** Para versões do NETGEAR WC7500 anteriores à 6.5.3.9, atualize para a versão 6.5.3.9 ou posterior. Para versões do NETGEAR WC7520 anteriores à 6.5.3.9, atualize para a versão 6.5.3.9 ou posterior. Para versões do NETGEAR WC7600v1 anteriores à 6.5.3.9, atualize para a versão 6.5.3.9 ou posterior. Para versões do NETGEAR WC7600v2 anteriores à 6.5.3.9, atualize para a versão 6.5.3.9 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Cacti version 1.1.17 **Description** A cross-site scripting issue exists in the `method` parameter in `spikekill.php`. **Recommendations** For Cacti version 1.1.17, update to a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Joomla! versions 3.2.0 through 3.6.5 **Description** The issue is related to inadequate filtering, which leads to cross-site scripting (XSS) in the template manager component. **Recommendations** For versions 3.2.0 through 3.6.5, update to version 3.7.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** b2evolution versions 6.7.5 and earlier **Description** A cross-site scripting (XSS) issue allows remote authenticated users to inject arbitrary web script or HTML via the site name. This could potentially lead to unauthorized actions on the site. **Recommendations** For b2evolution versions 6.7.5 and earlier, update to a version later than 6.7.5 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Dotclear versions prior to 2.10 **Description** The issue concerns multiple cross-site scripting (XSS) vulnerabilities in the media manager. These vulnerabilities allow remote attackers to inject arbitrary web script or HTML. Specifically, the `q` and `link type` parameters to the "admin/media.php" endpoint are vulnerable. **Recommendations** For versions prior to 2.10, update to version 2.10 or later to resolve the issue. As a temporary workaround, consider restricting access to the `admin/media.php` endpoint and avoid using the `q` and `link type` parameters until the issue is resolved.