Davide Bernacchia

**Nome do software vulnerável e versões afetadas** SEO Panel versão 4.10.0 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores remotos realizem redefinições não autorizadas de senhas de usuários. **Recomendações** Para o SEO Panel versão 4.10.0, atualize para uma versão que corrija essa vulnerabilidade para evitar redefinições não autorizadas de senhas. Como solução temporária, considere restringir o acesso à funcionalidade de redefinição de senha até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** SEO Panel versão 4.10.0 **Descrição** Existe uma vulnerabilidade de enumeração de endereços de e-mail na função de redefinição de senha. Isso permite que um invasor adivinhe quais endereços de e-mail existem no sistema. **Recomendações** Para o SEO Panel versão 4.10.0, considere desativar a função de redefinição de senha até que uma correção esteja disponível. Restrinja o acesso à funcionalidade de redefinição de senha para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SEO Panel versão 4.10.0 **Descrição** Foi detectada uma falha de enumeração de usuários, que ocorre durante a autenticação do usuário. Essa falha permite que um invasor determine se um nome de usuário é válido ou não por meio de diferenças nas mensagens de erro, possibilitando um ataque de força bruta com nomes de usuário válidos. **Recomendações** Para o SEO Panel versão 4.10.0, considere restringir temporariamente o acesso ao módulo de autenticação de usuários até que uma correção esteja disponível. Como medida de mitigação, evite usar mensagens de erro distintas para nomes de usuário válidos e inválidos, a fim de impedir a enumeração de usuários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SEO Panel versão 4.10.0 **Descrição** Existe uma vulnerabilidade SSRF cega na funcionalidade “Crawl Meta Data”. Isso permite que invasores remotos escaneiem portas no ambiente local. **Recomendações** Para o SEO Panel versão 4.10.0, considere desativar a funcionalidade “Crawl Meta Data” até que uma correção esteja disponível. Restrinja o acesso a esse recurso para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** OpenCATS version 0.9.7 **Description** A stored cross-site scripting (XSS) issue allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the `city` parameter at "opencats/index.php?m=candidates". This enables attackers to potentially manipulate the web application's behavior. **Recommendations** For OpenCATS version 0.9.7, as a temporary workaround, consider restricting access to the "opencats/index.php?m=candidates" endpoint to minimize the risk of exploitation. Avoid using the `city` parameter in the affected endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** OpenCATS version 0.9.7 **Description** A stored cross-site scripting (XSS) issue allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the `state` parameter at "opencats/index.php?m=candidates". This enables attackers to potentially manipulate the web application's behavior. **Recommendations** For OpenCATS version 0.9.7, consider disabling access to the "opencats/index.php?m=candidates" endpoint until a patch is available, or restrict the use of the `state` parameter to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** OpenCATS version 0.9.7 **Description** A Cross-Site Request Forgery (CSRF) issue allows attackers to force users into submitting web requests via unspecified vectors. **Recommendations** For OpenCATS version 0.9.7, consider implementing anti-CSRF measures, such as token-based validation, to prevent unauthorized requests. As a temporary workaround, restrict access to sensitive operations that could be exploited through CSRF attacks until a patch is available.