Fabian Bräunlein

**Nome do software vulnerável e versões afetadas** Microsoft Office (versões afetadas não especificadas) **Descrição** O problema está relacionado a um gerenciamento incorreto da geração de código no Microsoft Office. Isso permite que um invasor remoto execute código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Dell EMC iDRAC9 anteriores à 4.40.00.00 **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado possa explorar uma vulnerabilidade de cross-site scripting (XSS) baseada em DOM, induzindo um usuário da aplicação vítima a fornecer código HTML ou JavaScript malicioso ao ambiente DOM no navegador. Esse código malicioso é então executado pelo navegador da Web no contexto do aplicativo Web vulnerável. **Recomendações** Para versões anteriores à 4.40.00.00, atualize para a versão 4.40.00.00 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao aplicativo Web para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache OpenOffice anteriores à 4.1.10 **Descrição** O problema está relacionado ao tratamento de hiperlinks não-http(s) no Apache OpenOffice, o que pode levar à execução de código não confiável se um link for criado especificamente para esse fim. Esse problema existe desde aproximadamente 2006. Recomenda-se ter cuidado ao abrir documentos de fontes desconhecidas e não verificadas. **Recomendações** Para versões anteriores à 4.1.10, considere evitar o uso de hiperlinks não-http(s) em documentos até que um patch esteja disponível. Como solução temporária, os usuários devem ter cuidado ao abrir documentos de fontes desconhecidas e evitar clicar em links suspeitos. Na próxima versão 4.1.10, um aviso de segurança será exibido ao abrir hiperlinks potencialmente perigosos, dando ao usuário a opção de continuar ou cancelar a ação.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Desktop Client anteriores à 3.1.3 **Descrição** O problema está relacionado à injeção de recursos devido à falta de validação de URLs, permitindo que um servidor malicioso execute comandos remotos. É necessária a interação do usuário para que a vulnerabilidade seja explorada. **Recomendações** Para versões do Nextcloud Desktop Client anteriores à 3.1.3, atualize para a versão 3.1.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a servidores não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do KDE Discover anteriores à 5.21.3 Versões do KDE Discover anteriores à 5.18.7 Descrição: O problema decorre da criação automática de links para URLs potencialmente perigosos com base no conteúdo do site store.kde.org. Esses URLs não são nem https:// nem http://. Recomendações: Para versões anteriores à 5.21.3, atualize para a versão 5.21.3 ou posterior. Para versões anteriores à 5.18.7, atualize para a versão 5.18.7 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do WinSCP anteriores à 5.17.10 **Descrição** A vulnerabilidade permite que invasores remotos executem programas arbitrários quando o manipulador de URL encontra uma URL maliciosa que carrega configurações de sessão. Isso pode ser explorado em uma instalação padrão na qual o WinSCP atua como manipulador de URLs do tipo ftp://. **Recomendações** Para versões anteriores à 5.17.10, atualize para a versão 5.17.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do manipulador de URL para URLs do tipo sftp:// até que um patch seja aplicado.