Daniel Barros

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores executem código arbitrário por meio do campo `First Name` no aplicativo. Isso permite que invasores executem scripts maliciosos no lado do cliente, o que pode levar a ações não autorizadas ou à exposição de dados. **Recomendações** Para o Form Tools versão 3.1.1, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere validar e sanitizar as entradas do usuário no campo `Nome` para impedir a execução de código malicioso. Restrinja o acesso ao aplicativo para minimizar o risco de exploração até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro `keyword` ao pesquisar um cliente. Isso pode ser explorado através da manipulação da funcionalidade de pesquisa. **Recomendações** Para o Form Tools versão 3.1.1, como solução temporária, considere restringir o acesso à funcionalidade de pesquisa que utiliza o parâmetro `keyword` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF) permite que invasores manipulem dados confidenciais do usuário por meio de um link malicioso. Isso pode levar ao acesso não autorizado e à modificação das informações do usuário. **Recomendações** Para o Form Tools versão 3.1.1, considere implementar uma validação adequada de tokens CSRF para impedir que invasores manipulem dados do usuário por meio de links criados para esse fim. Como solução temporária, restrinja o acesso a dados confidenciais do usuário até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Form Tools versão 3.1.1 **Descrição** Uma vulnerabilidade de injeção de modelo no lado do servidor (SSTI) permite que invasores executem comandos arbitrários por meio do campo `Nome do grupo`, na seção de adição de formulários do aplicativo. **Recomendações** Para o Form Tools versão 3.1.1, evite usar o campo `Nome do Grupo` na seção de adição de formulários até que uma correção esteja disponível. Como solução temporária, considere restringir o acesso à seção de adição de formulários para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do SPIP anteriores à 4.1.14 Versões do SPIP 4.2.x anteriores à 4.2.8 **Descrição** A vulnerabilidade permite um ataque XSS por meio do nome de um arquivo enviado, relacionado aos arquivos javascript/bigup.js e javascript/bigup.utils.js. **Recomendações** Para versões do SPIP anteriores à 4.1.14, atualize para a versão 4.1.14 ou posterior. Para versões do SPIP 4.2.x anteriores à 4.2.8, atualize para a versão 4.2.8 ou posterior. Como solução temporária, considere restringir o upload de arquivos com nomes potencialmente maliciosos até que um patch esteja disponível.