Dan Smith

**Name of the Vulnerable Software and Affected Versions** Drupal Tagify versions prior to 1.2.49 **Description** The Tagify module for Drupal does not properly sanitize user-provided input before using it in JavaScript templates within the Tagify widget. This allows for the execution of arbitrary JavaScript code in a user's browser when content is created or edited. The issue stems from insufficient input neutralization during web page generation, leading to a Cross-Site Scripting (XSS) condition. **Recommendations** Update Drupal Tagify to version 1.2.49 or later.

**Nome do Software Vulnerável e Versões Afetadas** OpenStack Nova (versões afetadas não especificadas) **Descrição** O software invoca `qemu-img` sem restrições de formato ao redimensionar imagens. Um cabeçalho QCOW malicioso poderia potencialmente induzir o backend de imagem flat do Nova a executar uma operação insegura de redimensionamento de imagem. A função `qemu-img` está envolvida neste problema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Drupal Authenticator Login versões 0.0.0 até 2.1.3 Descrição: Existe uma vulnerabilidade de Bypass de Autenticação Usando um Caminho ou Canal Alternativo no Drupal Authenticator Login, permitindo o Bypass de Autenticação. Recomendações: Atualize para a versão 2.1.4 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Drupal Autenticação de Dois Fatores (TFA) versões 0.0.0 a 1.10.0 Descrição: O problema afeta o mecanismo de autenticação de dois fatores (TFA), permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente devido a um privilégio definido com ações inseguras. Recomendações: Para as versões 0.0.0 a 1.10.0, atualize para a versão 1.11.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do OpenStack Ironic anteriores à 26.0.1 Versões do Ironic-python-agent anteriores à 9.13.1 **Descrição** O problema diz respeito a uma vulnerabilidade no processamento de imagens, na qual uma imagem maliciosamente criada poderia ser usada por um usuário autenticado para explorar comportamentos indesejados no qemu-img, levando potencialmente ao acesso não autorizado a dados confidenciais. **Recomendações** Para versões do OpenStack Ironic anteriores à 26.0.1, atualize para a versão 26.0.1 ou posterior para resolver o problema. Para versões do Ironic-python-agent anteriores à 9.13.1, atualize para a versão 9.13.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de imagens manipuladas na funcionalidade de processamento de imagens até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Apache Geode até a 1.15.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) por meio de injeção de dados ao usar o aplicativo web Pulse para visualizar entradas de Região. **Recomendações** Para versões do Apache Geode até 1.15.0, atualize para uma versão posterior à 1.15.0 para resolver o problema.