Dominique Righetto

**Nome do Software Vulnerável e Versões Afetadas** OpenConcerto versão 1.7.5 **Descrição** O armazenamento de senhas em texto simples permite a recuperação de dados sensíveis incorporados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** jOpenDocument versão 1.5 **Descrição** A restrição inadequada de referência a entidades externas XML no ILM Informatique jOpenDocument permite a explosão de entidades externas de serialização de dados. Isso ocorre quando a aplicação não restringe adequadamente as entidades externas XML, que são referências a arquivos ou recursos externos dentro de um documento XML. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenConcerto versão 1.7.5 **Descrição** A atribuição incorreta de permissões para um recurso crítico permite a substituição de binários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ObjectPlanet Opinio versões 7.26 rev12562 **Descrição** Existe uma falha na funcionalidade de importação de pesquisas que permite a um atacante forçar o servidor a fazer solicitações HTTP GET para um destino arbitrário por meio de solicitações de importação manipuladas. Trata-se de uma vulnerabilidade de Falsificação de Solicitação no Lado do Servidor (SSRF) Cega. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ObjectPlanet Opinio versões 7.26 rev12562 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado na funcionalidade de importação de pesquisas da aplicação web. Isso permite que um atacante injete código JavaScript arbitrário que será executado no contexto de navegação dos visitantes que acessam uma pesquisa comprometida. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ObjectPlanet Opinio versão 7.26 rev12562 **Descrição** Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na funcionalidade de gerenciamento de recursos. Isso permite que um atacante envie arquivos em nome de usuários conectados e, em seguida, acesse esses arquivos sem autenticação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** PeopleSoft Enterprise HCM Talent Acquisition Manager versão 9.2 **Descrição** O problema permite que um atacante com baixos privilégios e acesso à rede via HTTP comprometa o sistema. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o atacante e podem impactar significativamente produtos adicionais. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis, bem como acesso não autorizado de leitura a um subconjunto de dados acessíveis. **Recomendações** Para a versão 9.2, atualize para uma versão que inclua uma correção para este problema, pois a versão atual é afetada e permite acesso não autorizado a dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apiris Kafeo versão 6.4.4 **Descrição** Foi descoberta uma falha que permite contornar a proteção existente, possibilitando o acesso aos dados armazenados no arquivo de banco de dados incorporado. **Recomendações** Para o Apiris Kafeo versão 6.4.4, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

**Nome do software vulnerável e versões afetadas** Apiris Kafeo versão 6.4.4 **Descrição** Uma falha no Apiris Kafeo permite o sequestro de DLL, possibilitando que um usuário acione a execução de código arbitrário sempre que o produto for executado. **Recomendações** Para o Apiris Kafeo versão 6.4.4, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EMS SQL Manager versão 3.6.2 (build 55333) para Oracle **Descrição** A vulnerabilidade permite o sequestro de DLL, possibilitando que um usuário acione a execução de código arbitrário sempre que o produto for executado. **Recomendações** Para o EMS SQL Manager versão 3.6.2 (build 55333) para Oracle, como solução temporária, considere restringir o acesso ao produto até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Regify Regipay Client para Windows, versão 4.5.1.0 **Descrição** Foi detectada uma falha no Regify Regipay Client para Windows que permite o sequestro de DLLs, possibilitando que um usuário acione a execução de código arbitrário sempre que o produto for executado. Essa falha pode levar à execução de código malicioso, comprometendo potencialmente o sistema. **Recomendações** Para o Regify Regipay Client para Windows versão 4.5.1.0, considere desativar a execução do produto até que uma correção esteja disponível para impedir a exploração dessa falha. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Interact version 7.9.79.5 **Description** The issue allows stored Cross-site Scripting (XSS) attacks in several locations, enabling an attacker to store a JavaScript payload. This can lead to the execution of malicious scripts on the client-side. **Recommendations** For Interact version 7.9.79.5, update to a version that includes a fix for this issue, as no specific workaround is provided for this version. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Independentsoft JWord versions prior to 1.1.110 **Description** An issue was discovered in the API, which is prone to XML external entity (XXE) injection via a remote DTD in a DOCX file. This occurs when processing a DOCX file containing a malicious DTD. **Recommendations** For versions prior to 1.1.110, update to version 1.1.110 or later to resolve the issue. As a temporary workaround, consider restricting the processing of DOCX files from untrusted sources to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Independentsoft JSpreadsheet versions prior to 1.1.110 **Description** An issue was discovered in the API, which is prone to XML external entity (XXE) injection via a remote DTD in a DOCX file. **Recommendations** For versions prior to 1.1.110, update to version 1.1.110 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Independentsoft JODF versions prior to 1.1.110 **Description** An issue was discovered in the API, which is prone to XML external entity (XXE) injection via a remote DTD in a DOCX file. This allows for potential exploitation. **Recommendations** For versions prior to 1.1.110, update to version 1.1.110 or later to resolve the issue. As a temporary workaround, consider restricting the processing of DOCX files from untrusted sources to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Archibus Web Central version 2022.03.01.107 **Description** The issue is related to a service exposed by the application that accepts a user-controlled parameter used to create an SQL query, making it prone to SQL injection. No information is provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For Archibus Web Central version 2022.03.01.107, consider restricting access to the vulnerable service to minimize the risk of exploitation. As a temporary workaround, avoid using user-controlled parameters in SQL queries until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Archibus Web Central version 2022.03.01.107 **Description** An issue was discovered in the application where a service exposed allows a basic user to access the profile information of all connected users. **Recommendations** For Archibus Web Central version 2022.03.01.107, consider restricting access to the exposed service to prevent basic users from accessing profile information of all connected users. As a temporary workaround, restrict the service's functionality until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Archibus Web Central version 2022.03.01.107 **Description** An issue was discovered in the application where a service allows a basic user to cancel or delete a booking created by someone else, even if the basic user is not a member of the booking. **Recommendations** For Archibus Web Central version 2022.03.01.107, consider restricting access to the booking cancellation service to prevent unauthorized deletion of bookings. As a temporary workaround, consider disabling the booking cancellation feature for basic users until a patch is available. Restrict basic users from accessing the booking service to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Archibus Web Central version 2022.03.01.107 **Description** An issue was discovered in the application where a service accepts user-controlled parameters to act on the data returned to the user. This allows a basic user to access data unrelated to their role. **Recommendations** For Archibus Web Central version 2022.03.01.107, consider restricting access to the service that accepts user-controlled parameters until a patch is available. As a temporary workaround, limit the data that can be accessed by basic users to only what is necessary for their role. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Incapptic Connect anteriores à 1.40.1 **Descrição** Um usuário sem privilégios de administrador, mas com permissão para gerenciar usuários, pode elevar seus privilégios para o nível de administrador por meio da funcionalidade de redefinição de senha. **Recomendações** Para versões anteriores à 1.40.1, atualize para a versão 1.40.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a permissão de gerenciamento de usuários para impedir que usuários não administradores explorem a funcionalidade de redefinição de senha.