Farouk

**Nome do software vulnerável e versões afetadas** Ingenico Estate Manager versão 2023 **Descrição** Foi encontrada uma vulnerabilidade problemática no componente New Widget Handler, afetando uma funcionalidade desconhecida do arquivo /emgui/rest/preferences/PREF HOME PAGE/sponsor/3/. A manipulação do argumento `URL` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Ingenico Estate Manager versão 2023, como solução temporária, considere restringir o acesso ao endpoint `/emgui/rest/preferences/PREF HOME PAGE/sponsor/3/` até que um patch esteja disponível. Evite usar o argumento `URL` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 WPML (versões afetadas não especificadas) **Descrição** Uma falha afeta o processamento do arquivo “/labvantage/rc?command=page” do componente POST Request Handler. A manipulação do argumento `param1` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A vulnerabilidade já foi divulgada publicamente e pode estar sendo explorada. Essa falha pode permitir que um invasor execute código arbitrário no servidor vulnerável. **Recomendações** Para o LabVantage LIMS versão 2017, considere desativar o argumento `param1` no POST Request Handler até que um patch esteja disponível. Para o WPML, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 **Descrição** Foi encontrada uma vulnerabilidade no componente POST Request Handler, afetando o arquivo /labvantage/rc?command=file&file=WEB-CORE/elements/files/filesembedded.jsp. A manipulação do argumento `sdcid/keyid1/keyid2/keyid3` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o LabVantage LIMS versão 2017, como solução temporária, considere restringir o acesso ao componente `POST Request Handler` até que um patch esteja disponível. Evite usar o argumento `sdcid/keyid1/keyid2/keyid3` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 **Descrição** Foi encontrada uma vulnerabilidade problemática no software. O problema afeta uma função desconhecida do arquivo /labvantage/rc?command=page&sdcid=LV ReagentLot do componente POST Request Handler. A manipulação do argumento `mode` leva a um ataque de cross-site scripting. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o LabVantage LIMS versão 2017, considere restringir o acesso ao componente vulnerável POST Request Handler para minimizar o risco de exploração. Como solução temporária, evite usar o argumento `mode` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 **Descrição** Foi encontrada uma falha no arquivo `/labvantage/rc?command=file&file=WEB-OPAL/pagetypes/bulletins/sendbulletin.jsp` do componente POST Request Handler. A manipulação do argumento `bulletinbody` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A vulnerabilidade já foi divulgada ao público e pode estar sendo explorada. **Recomendações** Para o LabVantage LIMS versão 2017, considere restringir o acesso ao endpoint `/labvantage/rc?command=file&file=WEB-OPAL/pagetypes/bulletins/sendbulletin.jsp` até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `bulletinbody` no POST Request Handler afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 **Descrição** Uma vulnerabilidade no LabVantage LIMS permite ataques de cross-site scripting (XSS). O problema está relacionado à manipulação dos argumentos `height` e `width` no arquivo `/labvantage/rc?command=file&file=WEB-CORE/elements/files/filesembedded.jsp&size=32`. Isso pode ser explorado remotamente. O fornecedor foi contatado sobre este problema, mas não respondeu. **Recomendações** Para o LabVantage LIMS versão 2017, como solução temporária, considere restringir o acesso ao endpoint da API `/labvantage/rc` ou desativar a manipulação dos parâmetros `height` e `width` no arquivo `filesembedded.jsp` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Ingenico Estate Manager versão 2023 Descrição: Foi detectada uma falha no componente News Feed, afetando o processamento do arquivo /emgui/rest/ums/messages. A manipulação do argumento `message` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o Ingenico Estate Manager versão 2023, como solução temporária, considere restringir o acesso ao arquivo /emgui/rest/ums/messages até que um patch esteja disponível. Evite usar o argumento `message` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do software vulnerável e versões afetadas: LabVantage LIMS versão 2017 Descrição: Foi identificada uma vulnerabilidade crítica no LabVantage LIMS, afetando uma parte desconhecida do arquivo “/labvantage/rc?command=page&page=SampleHistoricalList& iframename=list& crc=crc 1701669816260” . A manipulação dos argumentos `height` e `width` leva a um ataque de cross-site scripting. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para o LabVantage LIMS versão 2017, como solução temporária, considere restringir o acesso ao arquivo afetado “/labvantage/rc?command=page&page=SampleHistoricalList& iframename=list& crc=crc 1701669816260” para minimizar o risco de exploração. Evite usar os argumentos `height` e `width` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LabVantage LIMS versão 2017 **Descrição** O problema está relacionado à falta de proteção da estrutura da página da web no sistema de informações laboratoriais LabVantage LIMS. Isso pode ser explorado por um invasor remoto para realizar um ataque de cross-site scripting (XSS) por meio dos parâmetros `sdcid/keyid1` no arquivo `/labvantage/rc?command=page&page=LV ViewSampleSpec&oosonly=Y& sdialog=Y`. O ataque pode ser iniciado remotamente. **Recomendações** Para o LabVantage LIMS versão 2017, considere desativar o acesso ao arquivo `/labvantage/rc` ou restringir o uso dos parâmetros `sdcid/keyid1` até que uma correção esteja disponível. Evite usar os parâmetros `sdcid/keyid1` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: LabVantage LIMS versão 2017 Descrição: Foi encontrada uma vulnerabilidade crítica no LabVantage LIMS, afetando o componente POST Request Handler. O problema está relacionado à manipulação do argumento `param1` no arquivo `/labvantage/rc?command=page&page=SampleList& iframename=list`, o que leva à injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para o LabVantage LIMS versão 2017, considere desativar o argumento `param1` no endpoint da API afetado até que um patch esteja disponível. Restrinja o acesso ao endpoint `/labvantage/rc?command=page&page=SampleList& iframename=list` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.