Claudio Bozzato

**Nome do Software Vulnerável e Versões Afetadas** Versões do macOS anteriores ao Tahoe 26 **Descrição** Uma falha permite que um aplicativo potencialmente acesse dados protegidos do usuário devido a um problema de downgrade. Este problema foi corrigido com restrições adicionais de assinatura de código. **Recomendações** Atualize para o macOS Tahoe 26.

**Nome do Software Vulnerável e Versões Afetadas** Versões do macOS anteriores à 15.7.3 **Descrição** Um aplicativo pode ser capaz de contornar as proteções de restrição de lançamento e executar código malicioso com privilégios elevados. **Recomendações** Atualize para a versão 15.7.3 do macOS.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 14.4 WWBN AVideo dev master commit 8a8954ff **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) devido à funcionalidade do parâmetro `videoNotFound` `404ErrorMsg`. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de JavaScript. Um atacante pode fazer com que um usuário visite uma página web para explorar esta vulnerabilidade. **Recomendações** WWBN AVideo versão 14.4: Corrigir a vulnerabilidade no parâmetro `videoNotFound` `404ErrorMsg` para prevenir a execução arbitrária de JavaScript. WWBN AVideo dev master commit 8a8954ff: Corrigir a vulnerabilidade no parâmetro `videoNotFound` `404ErrorMsg` para prevenir a execução arbitrária de JavaScript.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versão 14.4 WWBN AVideo dev master commit 8a8954ff **Descrição** Uma lista negra incompleta no arquivo de exemplo `.htaccess` permite a execução arbitrária de código por meio de uma solicitação HTTP especialmente elaborada. Um atacante pode solicitar um arquivo `.phar` para explorar essa vulnerabilidade. **Recomendações** Atualize o WWBN AVideo para uma versão com uma lista negra completa no arquivo de exemplo `.htaccess`. Evite permitir solicitações de arquivos `.phar`.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 14.4 e commit dev master 8a8954ff **Descrição** Existe uma condição de corrida na funcionalidade de descompactação do `aVideoEncoder.json.php`. Uma série de solicitações HTTP especialmente elaboradas pode levar à execução arbitrária de código. **Recomendações** WWBN AVideo versão 14.4: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. WWBN AVideo commit dev master 8a8954ff: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** WWBN AVideo version 14.4 WWBN AVideo dev master commit 8a8954ff **Description** A cross-site scripting (xss) issue exists in the LoginWordPress loginForm `cancelUri` parameter functionality. A crafted HTTP request can lead to arbitrary Javascript execution. An attacker can trigger this issue by getting a user to visit a webpage. **Recommendations** For WWBN AVideo version 14.4, sanitize or encode the `cancelUri` parameter to prevent the injection of malicious scripts. For WWBN AVideo dev master commit 8a8954ff, sanitize or encode the `cancelUri` parameter to prevent the injection of malicious scripts.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 14.4 dev master commit 8a8954ff **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade do parâmetro `managerPlaylists PlaylistOwnerUsersId`. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de JavaScript. Um atacante pode fazer com que um usuário visite uma página web para acionar esta vulnerabilidade. **Recomendações** WWBN AVideo versão 14.4: Sanitizar ou codificar a entrada do usuário para o parâmetro `managerPlaylists PlaylistOwnerUsersId` para prevenir a injeção de scripts maliciosos. dev master commit 8a8954ff: Sanitizar ou codificar a entrada do usuário para o parâmetro `managerPlaylists PlaylistOwnerUsersId` para prevenir a injeção de scripts maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 14.4 e commit 8a8954ff (dev master) **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade do parâmetro de página `videosList`. Uma solicitação HTTP especialmente elaborada pode levar à execução arbitrária de JavaScript, permitindo potencialmente que um atacante execute código malicioso quando um usuário visita uma página da web. **Recomendações** WWBN AVideo versão 14.4: Corrija a vulnerabilidade na funcionalidade do parâmetro de página `videosList` para prevenir a execução arbitrária de JavaScript. WWBN AVideo commit 8a8954ff (dev master): Corrija a vulnerabilidade na funcionalidade do parâmetro de página `videosList` para prevenir a execução arbitrária de JavaScript.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 14.4 e dev master commit 8a8954ff **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) devido ao tratamento inadequado do parâmetro `cancelUri` dentro da funcionalidade userLogin. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de JavaScript. Um atacante pode potencialmente explorar esta vulnerabilidade induzindo um usuário a visitar uma página web maliciosa. **Recomendações** WWBN AVideo versão 14.4: Sanitizar ou codificar corretamente o parâmetro `cancelUri` para prevenir a injeção de scripts maliciosos. WWBN AVideo dev master commit 8a8954ff: Sanitizar ou codificar corretamente o parâmetro `cancelUri` para prevenir a injeção de scripts maliciosos.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 15.2 **Description** The issue is related to insufficient access control in the NVRAM Variable Handler component of MacOS, which may allow an attacker to gain unauthorized access to protected information. The problem was addressed with improved validation of environment variables. An app may be able to edit NVRAM variables. **Recommendations** For versions prior to 15.2, update to macOS Sequoia 15.2 to resolve the issue. As a temporary workaround, consider restricting access to NVRAM variables to minimize the risk of exploitation.

Nome do software vulnerável e versões afetadas: Versões do macOS anteriores à 14.7.2 Versões do macOS anteriores à 15.2 Descrição: O problema foi resolvido com uma lógica de permissões aprimorada. Um aplicativo poderia modificar partes protegidas do sistema de arquivos. Recomendações: Para versões do macOS anteriores à 14.7.2, atualize para o macOS Sonoma 14.7.2. Para versões do macOS anteriores à 15.2, atualize para o macOS Sequoia 15.2.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 13.7 Versões do macOS Sonoma anteriores à 14.7 Versões do macOS Sequoia anteriores à 15 **Descrição** Um problema de injeção de biblioteca foi corrigido com restrições adicionais. Esse problema permite que um aplicativo possa modificar partes protegidas do sistema de arquivos. **Recomendações** Para versões do macOS anteriores à 13.7, atualize para o macOS Ventura 13.7 para resolver o problema. Para versões do macOS Sonoma anteriores à 14.7, atualize para o macOS Sonoma 14.7 para resolver o problema. Para versões do macOS Sequoia anteriores à 15, atualize para o macOS Sequoia 15 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 12.7.6 Versões do macOS anteriores à 13.6.8 Versões do macOS anteriores à 14.6 **Descrição** Foi corrigido um problema de validação de entrada com uma validação aprimorada, o que poderia permitir que um aplicativo modificasse partes protegidas do sistema de arquivos. **Recomendações** Para versões do macOS anteriores à 12.7.6, atualize para o macOS Monterey 12.7.6 para resolver o problema. Para versões do macOS anteriores à 13.6.8, atualize para o macOS Ventura 13.6.8 para resolver o problema. Para versões do macOS anteriores à 14.6, atualize para o macOS Sonoma 14.6 para resolver o problema.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma falha que permite contornar a notificação de recuperação na funcionalidade de validação de captcha do arquivo userRecoverPass.php. Isso permite que uma solicitação HTTP especialmente criada gere silenciosamente um código de recuperação para qualquer usuário. **Recomendações** Como solução temporária, considere desativar a funcionalidade de validação de captcha no arquivo userRecoverPass.php até que um patch esteja disponível. Restrinja o acesso ao arquivo userRecoverPass.php para minimizar o risco de exploração. Evite usar a funcionalidade de código de recuperação na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma vulnerabilidade de divulgação de informações na funcionalidade de upload de imagens do arquivo aVideoEncoderReceiveImage.json.php. Uma solicitação HTTP especialmente criada pode levar à leitura arbitrária de arquivos. Essa vulnerabilidade é desencadeada pelo parâmetro `downloadURL image`. **Recomendações** Como solução temporária, considere restringir o acesso à funcionalidade aVideoEncoderReceiveImage.json.php até que uma correção esteja disponível. Evite usar o parâmetro `downloadURL image` na funcionalidade de upload de imagens afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma falha na funcionalidade `checkLoginAttempts` que permite contornar a restrição de tentativas de login. Isso pode ser desencadeado por uma solicitação HTTP especialmente criada, levando ao contorno do captcha. Um invasor pode explorar essa falha para realizar um ataque de força bruta contra as credenciais do usuário, enviando uma série de solicitações HTTP. **Recomendações** Para o WWBN AVideo dev master commit 15fed957fb, como solução temporária, considere desativar a funcionalidade `checkLoginAttempts` até que um patch esteja disponível. Restrinja o acesso à funcionalidade de login para minimizar o risco de exploração. Evite usar o recurso de login na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma vulnerabilidade na funcionalidade de cópia temporária do arquivo import.json.php, permitindo o envio irrestrito de arquivos PHP. Isso pode levar à execução de código arbitrário quando combinado com uma vulnerabilidade de inclusão de arquivo local (LFI). Um invasor pode explorar essa falha enviando solicitações HTTP especialmente criadas. **Recomendações** Como solução temporária, considere desativar a funcionalidade do import.json.php até que um patch esteja disponível. Restrinja o acesso à funcionalidade de cópia temporária para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma vulnerabilidade de divulgação de informações na funcionalidade image404Raw.php. Uma solicitação HTTP especialmente criada pode levar à leitura arbitrária de arquivos. **Recomendações** Para o WWBN AVideo dev master commit 15fed957fb, considere restringir o acesso à funcionalidade image404Raw.php até que um patch esteja disponível. Como solução temporária, evite usar essa funcionalidade para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma vulnerabilidade de divulgação de informações na funcionalidade de upload de imagens do arquivo `aVideoEncoderReceiveImage.json.php`. Uma solicitação HTTP especialmente criada pode levar à leitura arbitrária de arquivos. Essa vulnerabilidade é desencadeada pelo parâmetro `downloadURL gifimage`. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo `aVideoEncoderReceiveImage.json.php` até que um patch esteja disponível. Evite usar o parâmetro `downloadURL gifimage` na funcionalidade afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WWBN AVideo dev master commit 15fed957fb **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) na funcionalidade de nome de usuário do arquivo navbarMenuAndLogo.php. Isso permite que um invasor execute código JavaScript arbitrário por meio de uma solicitação HTTP especialmente criada. Um invasor pode explorar essa vulnerabilidade levando um usuário a visitar uma página da Web maliciosa. **Recomendações** Para o WWBN AVideo dev master commit 15fed957fb, considere desativar a funcionalidade de nome de usuário no arquivo navbarMenuAndLogo.php até que um patch esteja disponível para impedir a execução arbitrária de JavaScript. Restrinja o acesso a essa funcionalidade para minimizar o risco de exploração. Evite usar o campo de nome de usuário no arquivo navbarMenuAndLogo.php até que a vulnerabilidade seja resolvida.