Edcarlos

**Name of the Vulnerable Software and Affected Versions** Duende IdentityServer version 4 **Description** A security issue exists in Duende IdentityServer 4 related to improper authentication. Manipulation of the `id token hint` argument within an unknown function of the `/connect/authorize` file in the Token Renewal Endpoint component can lead to unauthorized access. The attack can be initiated remotely and is considered to have high complexity with difficult exploitability. The vendor was contacted regarding this issue but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Total.js Flow anteriores a 673ef9144dd25d4f4fd4fdfda5af27f230198924 **Descrição** Existe uma falha de segurança no Total.js Flow relacionada ao componente SVG File Handler. A manipulação deste componente pode resultar em upload de arquivos sem restrições, e o ataque pode ser iniciado remotamente. O exploit foi disponibilizado publicamente. É utilizada entrega contínua com rolling releases, e o fornecedor não respondeu às tentativas de divulgação antecipada. **Recomendações** Atualize para uma versão posterior a 673ef9144dd25d4f4fd4fdfda5af27f230198924.

**Nome do Software Vulnerável e Versões Afetadas** Total.js CMS versão 1.0.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting no Total.js CMS versão 1.0.0. A falha está localizada na função `layouts save` dentro do arquivo `/admin/` do componente Layout Page. A manipulação do argumento `HTML` pode desencadear a vulnerabilidade. O ataque pode ser iniciado remotamente. O exploit foi tornado público. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: D-Link DIR-818LW versão 1.04 Descrição: Existe uma vulnerabilidade no componente Manipulador de Endereços Reservados do DHCP do D-Link DIR-818LW versão 1.04. A manipulação do argumento `Name` no arquivo `/bsc lan.php` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. Esta vulnerabilidade afeta produtos que não são mais suportados pelo mantenedor. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.