Fernando Martinez

**Name of the Vulnerable Software and Affected Versions** Ideagen DevonWay versions prior to 2.62.4 Ideagen DevonWay version 2.62 LTS **Description** Ideagen DevonWay contains a stored cross-site scripting issue. An authenticated attacker can create a malicious payload within the 'Reports' page. This payload will execute when another user views the report. The vulnerable component is the 'Reports' page. **Recommendations** Update Ideagen DevonWay to version 2.62.4 or later. Update Ideagen DevonWay to version 2.62 LTS or later.

**Nome do Software Vulnerável e Versões Afetadas** Medical Informatics Engineering Enterprise Health (versões afetadas não especificadas) **Descrição** Um atacante autenticado pode injetar conteúdo arbitrário na página 'Informações Demográficas', levando à execução de código malicioso quando uma vítima acessa a página. Trata-se de uma vulnerabilidade de cross-site scripting (XSS) armazenado. **Recomendações** Atualize para uma versão lançada em ou após 2025-03-14.

**Nome do Software Vulnerável e Versões Afetadas** Medical Informatics Engineering Enterprise Health versões anteriores a 2025-04-08 **Descrição** Usuários autenticados podem fazer upload de arquivos arbitrários. O impacto desse comportamento depende de como esses arquivos são acessados. Aproximadamente 2000 organizações de saúde em todo o mundo utilizam este software. Não há detalhes sobre exploração no mundo real desta vulnerabilidade. **Recomendações** Atualize para a versão 2025-04-08 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Medical Informatics Engineering Enterprise Health (affected versions not specified) **Description** The software contains a cross site request forgery condition. An unauthenticated attacker can deceive administrative users into clicking a specially crafted URL, enabling the attacker to perform actions as that administrative user. **Recommendations** Update to a version released on or after 2025-04-08.

**Nome do Software Vulnerável e Versões Afetadas** Medical Informatics Engineering Enterprise Health (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de cross-site scripting refletido no parâmetro de URL 'portlet user id'. Um atacante remoto não autenticado pode criar uma URL maliciosa para executar código JavaScript arbitrário no navegador de uma vítima. A vulnerabilidade foi corrigida a partir de 2025-03-14. O parâmetro vulnerável é `portlet user id`. **Recomendações** Atualize para uma versão lançada em ou após 2025-03-14.

**Nome do Software Vulnerável e Versões Afetadas** Medical Informatics Engineering Enterprise Health versões anteriores a 2025-03-14 **Descrição** Existe um problema de injeção de CSV que permite a um atacante remoto e autenticado injetar macros em arquivos CSV para download. O problema foi resolvido em 14 de março de 2025. **Recomendações** Atualize para a versão 2025-03-14 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Medical Informatics Engineering Enterprise Health (versões afetadas não especificadas) **Descrição** O software inclui o token de sessão atual do usuário na saída de debug. Um atacante poderia potencialmente convencer um usuário a enviar essa saída ao atacante, permitindo que o atacante se passe por esse usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.