Elliot Rasch

**Nome do software vulnerável e versões afetadas** Aplicativo Archibus versão 4.0.3 para iOS **Descrição** Foi detectada uma falha no recurso de criação de solicitação de trabalho do módulo de manutenção, por meio do campo `description`. Isso permite que um invasor execute uma ação em nome do usuário, extraia dados e assim por diante. **Recomendações** Para a versão 4.0.3 do aplicativo Archibus, considere desativar o recurso de criação de solicitação de trabalho no módulo de manutenção até que uma correção esteja disponível. Restrinja o acesso ao campo `description` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Aplicativo Archibus versão 4.0.3 para iOS **Descrição** Foi detectada uma falha no aplicativo Archibus, que utiliza um banco de dados local sincronizado com uma instância do servidor central na Web. Existe uma vulnerabilidade de injeção de SQL no recurso de pesquisa de solicitações de trabalho do módulo de Manutenção do aplicativo, permitindo que consultas sejam realizadas no banco de dados local. **Recomendações** Para a versão 4.0.3 do aplicativo Archibus, considere desativar o recurso de pesquisa de solicitações de trabalho no módulo Manutenção como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao banco de dados local para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** Dradis versions prior to 4.8.0 **Description** The issue allows persistent XSS by authenticated author users, related to avatars. **Recommendations** For versions prior to 4.8.0, update to version 4.8.0 or later to resolve the issue. As a temporary workaround, consider restricting the ability of authenticated author users to upload or modify avatars until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Mega HOPEX versions 15.2.0.6110 through V5CP2 **Description** The application is prone to reflected Cross-site Scripting (XSS) in several features. **Recommendations** For Mega HOPEX versions 15.2.0.6110 through V5CP2, update to a version after V5CP2 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Mega HOPEX versions 15.2.0.6110 through V5CP4 **Description** A link-manipulation issue was discovered. **Recommendations** For Mega HOPEX versions 15.2.0.6110 through V5CP4, update to version V5CP4 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** Versões do Black Rainbow NIMBUS anteriores à 3.7.0 **Descrição** A vulnerabilidade permite a execução de Cross-site Scripting (XSS) armazenado, um tipo de ataque em que um invasor injeta código malicioso em um site, e esse código é armazenado no servidor. Quando outros usuários acessam o site, o código malicioso é executado, podendo levar a ações não autorizadas. **Recomendações** Para versões anteriores à 3.7.0, atualize para a versão 3.7.0 ou posterior para resolver o problema.