Cupc4K3

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores executem código arbitrário por meio do campo `First Name` no aplicativo. Isso permite que invasores executem scripts maliciosos no lado do cliente, o que pode levar a ações não autorizadas ou à exposição de dados. **Recomendações** Para o Form Tools versão 3.1.1, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere validar e sanitizar as entradas do usuário no campo `Nome` para impedir a execução de código malicioso. Restrinja o acesso ao aplicativo para minimizar o risco de exploração até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade de injeção de modelo no lado do servidor (SSTI) permite que invasores executem comandos arbitrários por meio do campo `Nome do grupo`, na seção de adição de formulários do aplicativo. **Recomendações** Para o Form Tools versão 3.1.1, evite usar o campo `Nome do Grupo` na seção de adição de formulários até que uma correção esteja disponível. Como solução temporária, considere restringir o acesso à seção de adição de formulários para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF) permite que invasores manipulem dados confidenciais do usuário por meio de um link malicioso. Isso pode levar ao acesso não autorizado e à modificação das informações do usuário. **Recomendações** Para o Form Tools versão 3.1.1, considere implementar uma validação adequada de tokens CSRF para impedir que invasores manipulem dados do usuário por meio de links criados para esse fim. Como solução temporária, restrinja o acesso a dados confidenciais do usuário até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro `keyword` ao pesquisar um cliente. Isso pode ser explorado através da manipulação da funcionalidade de pesquisa. **Recomendações** Para o Form Tools versão 3.1.1, como solução temporária, considere restringir o acesso à funcionalidade de pesquisa que utiliza o parâmetro `keyword` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** osCommerce versão 4 **Descrição** Uma falha permite que invasores locais contornem as restrições de envio de arquivos e executem código arbitrário por meio do recurso de envio de foto do perfil do administrador. **Recomendações** Para o osCommerce versão 4, como solução temporária, considere desativar o recurso de upload de foto do perfil do administrador até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Concrete CMS, versões 9.0.0 a 9.2.4 **Descrição** O problema está relacionado a um ataque XSS armazenado (stored XSS) por meio do campo `Role Name`, devido à validação insuficiente dos dados fornecidos pelo administrador. Um administrador mal-intencionado poderia injetar código malicioso no campo `Role Name`, o qual poderia ser executado quando os usuários visitassem a página afetada. **Recomendações** Para as versões 9.0.0 a 9.2.4 do Concrete CMS, atualize para a versão 9.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao campo `Role Name` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Concrete CMS, versões 9 a 9.2.4 **Descrição** O problema está relacionado à validação insuficiente dos dados fornecidos pelo administrador no recurso de importação de URL de imagens, permitindo que um administrador mal-intencionado injete código malicioso ao importar imagens. Isso leva à execução do código malicioso no navegador do usuário do site. Um administrador mal-intencionado poderia explorar essa vulnerabilidade para injetar código malicioso. **Recomendações** Para as versões 9 a 9.2.4 do Concrete CMS, atualize para a versão 9.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de importação de URL de imagem para minimizar o risco de exploração. Evite usar o recurso de importação de URL de imagem até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Group-Office anteriores à 6.8.29 **Descrição** O problema está relacionado ao mecanismo de upload de arquivos no Group-Office, permitindo que um invasor execute código JavaScript arbitrário ao incorporá-lo no nome de um arquivo. Por exemplo, usar um nome de arquivo como “><img src=x onerror=prompt(‘XSS’)>.jpg” pode desencadear esse problema. Quando tal arquivo é enviado, o código JavaScript contido no nome do arquivo é executado. **Recomendações** Para versões anteriores à 6.8.29, atualize para a versão 6.8.29 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos ou validar nomes de arquivos para impedir a execução de código JavaScript incorporado. Evite usar nomes de arquivos que contenham código potencialmente executável até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Pimcore Perspective Editor versions prior to 1.5.1 **Description** This issue has the potential to steal a user's cookie and gain unauthorized access to that user's account through the stolen cookie or redirect users to other malicious sites. **Recommendations** For versions prior to 1.5.1, update to version 1.5.1 to resolve the issue. As a temporary workaround for versions prior to 1.5.1, apply the patch manually.