Esteban Rodriguez

**Nome do software vulnerável e versões afetadas** Determine Contract Lifecycle Management (CLM) versão 5.4 **Descrição** Foi identificada uma falha que permite que invasores remotos autenticados leiam arquivos arbitrários, incluindo arquivos de configuração contendo credenciais administrativas, devido a uma vulnerabilidade de entidade externa XML (XXE) no recurso de upload de definições no arquivo definition upload attach.jsp. **Recomendações** Para a versão 5.4, como solução temporária, considere restringir o acesso ao arquivo definition upload attach.jsp até que um patch esteja disponível. Evite usar o recurso de upload de definições nesta versão para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Determine Contract Lifecycle Management (CLM) versão 5.4 **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) permite que invasores remotos injetem scripts da Web ou HTML arbitrários por meio de vários parâmetros do `getchart.jsp`. **Recomendações** Para a versão 5.4, evite usar os parâmetros `getchart.jsp` vulneráveis até que uma correção esteja disponível. Como solução alternativa temporária, considere restringir o acesso ao endpoint `getchart.jsp` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Determine Contract Lifecycle Management (CLM) versão 5.4 **Descrição** Uma falha no arquivo report edit.jsp permite que qualquer usuário autenticado execute código Groovy ao gerar um relatório. Isso resulta na execução de código arbitrário no servidor subjacente. **Recomendações** Para a versão 5.4, considere restringir o acesso à página report edit.jsp até que uma correção esteja disponível e evite gerar relatórios a partir de fontes não confiáveis para minimizar o risco de exploração.