Edwin Molenaar

Nome do Software Vulnerável e Versões Afetadas: ClearML Enterprise Server versão 3.22.5-1533 Descrição: Existe uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade de upload de dataset. Uma requisição HTTP especialmente elaborada pode levar à execução de código HTML arbitrário. Um atacante pode enviar uma série de requisições HTTP para explorar esta vulnerabilidade. Recomendações: Para o ClearML Enterprise Server versão 3.22.5-1533, considere desativar a funcionalidade de upload de dataset até que uma correção esteja disponível para prevenir a exploração da vulnerabilidade XSS. Restrinja o acesso ao recurso de upload de dataset para minimizar o risco de injeção de código HTML arbitrário. Evite usar a funcionalidade de upload de dataset vulnerável na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: ClearML Enterprise Server versão 3.22.5-1533 Descrição: Existe um problema de divulgação de informações na funcionalidade da Vault API. Uma requisição HTTP especialmente elaborada pode levar à leitura de Vaults que foram previamente desabilitados, possivelmente vazando credenciais sensíveis. Um atacante pode enviar uma série de requisições HTTP para desencadear este problema. Recomendações: Para o ClearML Enterprise Server versão 3.22.5-1533, considere desabilitar a funcionalidade da Vault API até que uma correção esteja disponível para prevenir a possível divulgação de informações. Restrinja o acesso à Vault API para minimizar o risco de exploração. Evite usar a Vault API para operações sensíveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** GoCast versão 1.1.3 **Descrição** Existe uma vulnerabilidade de injeção de comando do sistema operacional no parâmetro NAT do GoCast. Uma solicitação HTTP especialmente criada pode levar à execução de comandos arbitrários. Um invasor pode realizar uma solicitação HTTP sem autenticação para explorar essa vulnerabilidade. **Recomendações** Para o GoCast versão 1.1.3, considere restringir o acesso ao parâmetro NAT para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro NAT em solicitações HTTP até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GoCast versão 1.1.3 **Descrição** Existe uma vulnerabilidade de injeção de comando no sistema operacional no parâmetro `name` do GoCast, permitindo a execução de comandos arbitrários por meio de uma solicitação HTTP especialmente criada. Isso pode ser desencadeado por uma solicitação HTTP não autenticada. **Recomendações** Para o GoCast versão 1.1.3, considere restringir o acesso ao parâmetro `name` para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GoCast versão 1.1.3 **Descrição** Existe uma falha de autenticação na funcionalidade da API HTTP, permitindo que uma solicitação HTTP especialmente criada leve à execução arbitrária de comandos. Um invasor pode realizar uma solicitação HTTP não autenticada para explorar essa vulnerabilidade. **Recomendações** Para a versão 1.1.3 do GoCast, como solução temporária, considere restringir o acesso à funcionalidade da API HTTP até que um patch esteja disponível. Evite fazer solicitações HTTP não autenticadas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin XYZScripts Contact Form Manager (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade no plugin XYZScripts Contact Form Manager, que foi declarada como problemática. A manipulação de uma funcionalidade desconhecida leva à falsificação de solicitações entre sites (CSRF). O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin XYZScripts Contact Form Manager (versões afetadas não especificadas) **Descrição** Foi detectada uma falha no plugin XYZScripts Contact Form Manager, afetando alguma funcionalidade desconhecida. Essa falha permite a execução de scripts entre sites (XSS), podendo ser explorada remotamente. A exploração já foi divulgada ao público. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.