Chor4O

**Nome do Software Vulnerável e Versões Afetadas** vBulletin versões 6.x **Descrição** Uma falha no componente Login permite que um invasor remoto realize uma manipulação que resulta em cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** LigeroSmart versions through 6.1.26 **Description** A security issue exists in LigeroSmart. Manipulation of the `TicketID` argument within an unknown function of the `/otrs/index.pl` file can lead to cross site scripting. This attack can be launched remotely. The exploit has been publicly disclosed. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** LigeroSmart versions through 6.1.26 **Description** A cross-site scripting issue exists in LigeroSmart. The manipulation of the `TicketID` argument in the `/otrs/index.pl?Action=AgentTicketZoom` endpoint can trigger this issue. The exploit is publicly available and could be used for remote attacks. The project has been informed but has not yet responded. **Recommendations** Versions prior to 6.1.26 should be updated. As a temporary workaround, consider restricting access to the `/otrs/index.pl?Action=AgentTicketZoom` endpoint until a patch is available.

**Name of the Vulnerable Software and Affected Versions** LigeroSmart versions up to 6.1.24 **Description** A flaw exists in the Environment Variable Handler component of LigeroSmart. Manipulation of the `REQUEST URI` argument can lead to cross-site scripting. The issue may be exploited remotely. The exploit has been publicly disclosed. **Recommendations** Upgrade to version 6.1.26 or 6.3.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Qualitor até a 8.24.73 **Descrição** Existe uma vulnerabilidade de segurança no Qualitor que permite cross-site scripting. O problema está relacionado à manipulação do argumento `cdscript` dentro de uma função desconhecida do arquivo '/Qualitor/html/bc/bcdocumento9/biblioteca/request/viewDocumento.php'. Isso permite ataques remotos. O exploit foi divulgado publicamente. **Recomendações** Atualize o componente afetado para uma versão mais recente.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Luna Imaging até a 7.5.5.6 **Descrição** Foi identificado um problema no Luna Imaging, afetando uma função desconhecida do arquivo /luna/servlet/view/search. A manipulação do argumento `q` resulta em cross-site scripting. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para versões até a 7.5.5.6, como solução temporária, considere restringir o acesso ao endpoint da API /luna/servlet/view/search para minimizar o risco de exploração. Evite utilizar o argumento `q` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Contact Form 7 anteriores à 5.9.5 **Descrição** A vulnerabilidade permite que um invasor utilize uma URL falsa e redirecione para a URL de sua escolha, devido a um redirecionamento aberto no plugin. **Recomendações** Para versões anteriores à 5.9.5, atualize para a versão 5.9.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Flask-AppBuilder, versões 4.1.4 a 4.2.0 **Descrição** Foi descoberta uma vulnerabilidade de Cross-Site Scripting (XSS) na página de login do OAuth. Um invasor poderia induzir um usuário a acessar uma URL especialmente criada para a página de login do OAuth, o que poderia injetar e executar código JavaScript malicioso no navegador do usuário. **Recomendações** Para as versões 4.1.4 a 4.2.0 do Flask-AppBuilder, atualize para a versão 4.2.1 ou uma versão mais recente para resolver o problema. Como solução temporária, considere restringir o acesso à página de login do OAuth até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do IceWarp 12.0.2.1 a 12.0.3.1 **Descrição** Foi descoberta uma falha que afeta o componente Utility Download Handler no arquivo /install/. A falha pode ser explorada manipulando-se o argumento `lang` com uma entrada específica, levando a um ataque de cross-site scripting. Isso pode ser iniciado remotamente. **Recomendações** Para as versões do IceWarp 12.0.2.1 a 12.0.3.1, considere restringir o acesso ao componente Utility Download Handler até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `lang` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** TOTVS RM version 12.1 **Description** A problematic vulnerability has been found in the Portal component of TOTVS RM, specifically in the Login.aspx file. The issue arises from the manipulation of the `VIEWSTATE` argument, leading to cross-site scripting. This vulnerability can be exploited remotely. The vendor was contacted about this disclosure but did not respond. **Recommendations** For TOTVS RM version 12.1, as a temporary workaround, consider restricting access to the Login.aspx file or disabling the manipulation of the `VIEWSTATE` argument until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** TOTVS RM version 12.1 **Description** A problematic vulnerability was found in the Portal component of TOTVS RM, where the manipulation of the argument `d` leads to cross-site scripting. The attack can be launched remotely. The vendor was contacted about this disclosure but did not respond. **Recommendations** For TOTVS RM version 12.1, as a temporary workaround, consider restricting access to the Portal component to minimize the risk of exploitation. Avoid using the argument `d` until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.