Damiano Esposito

**Nome do Software Vulnerável e Versões Afetadas** airleader MASTER versão 3.00571 **Descrição** O problema está relacionado a uma vulnerabilidade de Autenticação Imprópria que permite Bypass de Autenticação. Esta vulnerabilidade afeta o dispositivo airleader MASTER, potencialmente permitindo acesso não autorizado. **Recomendações** Para o airleader MASTER versão 3.00571, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Plone 4.0 a 5.2.1 **Descrição** O problema está relacionado a um redirecionamento aberto no formulário de login e, possivelmente, em outras áreas, permitindo que um invasor crie um link que redirecione para o site do próprio invasor após o login. **Recomendações** Para as versões 4.0 a 5.2.1, considere restringir o acesso ao formulário de login até que uma correção esteja disponível. Como solução temporária, evite usar o formulário de login com links externos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Plone 5.0 a 5.2.1 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) no campo de título, permitindo que usuários com um determinado nível de privilégio insiram código JavaScript. Esse código será executado quando outros usuários acessarem o site. **Recomendações** Para as versões do Plone 5.0 a 5.2.1, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a execução de código JavaScript malicioso.

**Nome do software vulnerável e versões afetadas** Versões do Plone 4.0 a 5.2.1 **Descrição** A vulnerabilidade permite que usuários executem consultas SQL indesejadas devido a injeção de SQL no DTML ou em objetos de conexão. Este problema está relacionado ao Zope. **Recomendações** Para as versões do Plone 4.0 a 5.2.1, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de evitar consultas SQL indesejadas.

**Nome do software vulnerável e versões afetadas** Versões do Plone 4.3 a 5.2.0 **Descrição** O problema está relacionado à ausência de verificações de segurança de senhas em alguns formulários, permitindo que os usuários definam senhas fracas. Isso facilita que invasores quebrem as senhas. **Recomendações** Para as versões do Plone 4.3 a 5.2.0, considere implementar verificações personalizadas de segurança de senhas para exigir senhas fortes até que um patch esteja disponível. Como solução temporária, restrinja o acesso à funcionalidade de alteração de senha para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Plone 5.2.0 a 5.2.1 **Descrição** A vulnerabilidade permite que usuários com um determinado nível de privilégios elevem seus privilégios até o nível mais alto. **Recomendações** Para as versões do Plone 5.2.0 a 5.2.1, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de impedir a escalada de privilégios.

**Nome do software vulnerável e versões afetadas** Versões do Plone 4.3 a 5.2.1 **Descrição** O problema está relacionado a uma falha de escalonamento de privilégios no pacote plone.app.contenttypes do sistema de gerenciamento de conteúdo Plone. Isso permite que usuários sobrescrevam determinados conteúdos usando o método PUT sem a necessidade de permissão de gravação. A vulnerabilidade pode ser explorada por um invasor remoto para elevar seus privilégios. **Recomendações** Para as versões 4.3 a 5.2.1 do Plone, considere restringir o acesso ao pacote plone.app.contenttypes até que uma correção esteja disponível. Como solução temporária, limite a capacidade dos usuários de enviar conteúdo (PUT) sem as devidas permissões de gravação para minimizar o risco de exploração.