David Silva

Nome do Software Vulnerável e Versões Afetadas: Versões do OTRS 7.0.X Versões do OTRS 8.0.X Versões do OTRS 2023.X Versões do OTRS 2024.X Versões do OTRS 2025.X Descrição: Uma falha na Interface Externa do OTRS permite que atacantes determinem a existência de contas de usuário analisando diferentes códigos e mensagens de resposta HTTP. Isso possibilita a identificação sistemática de endereços de e-mail válidos. Recomendações: Versões do OTRS 7.0.X: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do OTRS 8.0.X: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do OTRS 2023.X: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do OTRS 2024.X: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do OTRS 2025.X: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do juzaweb CMS até a 3.4.2 **Descrição** Uma vulnerabilidade crítica foi identificada no componente Plugin Editor Page, afetando especificamente alguma funcionalidade desconhecida do arquivo /admin-cp/plugin/editor. Este problema resulta em controles de acesso inadequados, permitindo ataques remotos. O exploit foi divulgado publicamente. **Recomendações** Para as versões do juzaweb CMS até a 3.4.2, considere restringir o acesso ao arquivo /admin-cp/plugin/editor até que um patch esteja disponível. Como medida temporária, revise e reforce os controles de acesso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões da API Passbolt anteriores à 5 **Descrição** O problema ocorre quando o servidor está mal configurado, especificamente devido a um processo de instalação incorreto e à desconsideração dos resultados do Health Check. Nesses casos, a API Passbolt pode enviar mensagens de e-mail com um nome de domínio obtido a partir de um cabeçalho HTTP Host controlado por um atacante. **Recomendações** Para versões anteriores à 5, assegure uma configuração adequada do servidor, seguindo o processo de instalação correto e aderindo aos resultados do Health Check para prevenir a exploração. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de e-mail até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Microweber version 2.0.4 **Description** The issue allows a remote attacker to execute arbitrary code via a crafted script to the file upload function in the created forms component. This enables the attacker to potentially gain control over the system. **Recommendations** For Microweber version 2.0.4, consider disabling the file upload function in the created forms component until a patch is available. Restrict access to this component to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** BoltWire version 6.03 **Description** The issue in BoltWire allows a remote attacker to obtain sensitive information via a crafted payload to the view and change admin password function. This is related to insufficient protection of service data, which can be exploited by a remote attacker to gain access to confidential data. **Recommendations** For BoltWire version 6.03, update the BoltWire CMS to a newer version to resolve the issue. As a temporary workaround, consider restricting access to the admin password change function until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões 7.10 a 8.00 do BoltWire **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa nos parâmetros `name` e `lastname`. **Recomendações** Para a versão 7.10 do BoltWire, atualize para uma versão posterior à 8.00 para resolver o problema. Para a versão 8.00 do BoltWire, atualize para uma versão posterior à 8.00 para resolver o problema. Como solução temporária, considere restringir o uso dos parâmetros `name` e `lastname` até que um patch esteja disponível.