Fabian Funder

**Name of the Vulnerable Software and Affected Versions** Suprema BioStar 2 version 2.9.11.6 **Description** BioStar 2 version 2.9.11.6 allows users to set a new password without providing the current password. Exploiting this flaw, in combination with other vulnerabilities, can lead to unauthorized account access and potential system compromise. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões 11.9.0 a 11.35.1 do framework Laravel **Descrição** O problema está relacionado a cross-site scripting refletido devido à codificação inadequada dos parâmetros da requisição na página de erro do modo de depuração. **Recomendações** Para as versões 11.9.0 a 11.35.1 do framework Laravel, atualize para uma versão que codifique adequadamente os parâmetros da requisição na página de erro do modo de depuração para prevenir cross-site scripting refletido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do framework Laravel 11.9.0 até 11.35.1 **Descrição** O problema está relacionado a cross-site scripting refletido devido à codificação inadequada de parâmetros de rota na página de erro do modo de depuração. **Recomendações** Para as versões 11.9.0 até 11.35.1, atualize para uma versão que codifica adequadamente os parâmetros de rota na página de erro do modo de depuração para prevenir cross-site scripting refletido.

**Nome do software vulnerável e versões afetadas** Paradox IP150 Internet Module versão 1.40.00 **Descrição** O problema está relacionado a ataques de falsificação de solicitação entre sites (CSRF), que podem ser executados devido à falta de medidas de proteção e ao uso do método HTTP `GET` para introduzir alterações no sistema. **Recomendações** Para o Paradox IP150 Internet Module versão 1.40.00, considere desativar o uso do método `GET` para introduzir alterações no sistema até que uma correção esteja disponível. Restrinja o acesso a operações confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Two-Factor Authentication do CraftCMS, versões 3.3.1 a 3.3.3 **Descrição** A vulnerabilidade expõe o hash da senha do usuário atualmente autenticado após o envio de um TOTP válido. **Recomendações** Para as versões 3.3.1 a 3.3.3, considere desativar o plugin Two-Factor Authentication até que uma correção esteja disponível para evitar a divulgação dos hashes de senha. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Two-Factor Authentication do CraftCMS, versões 3.3.3 e anteriores **Descrição** A vulnerabilidade permite a reutilização de tokens TOTP várias vezes dentro do período de validade. **Recomendações** Para as versões 3.3.3 e anteriores, atualize para uma versão que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o uso de tokens TOTP para minimizar o risco de exploração.