Fewwords

**Nome do Software Vulnerável e Versões Afetadas** SimpleMachines SMF versão 2.1.4 **Descrição** Um problema foi encontrado no SimpleMachines SMF e classificado como problemático. Afeta alguma funcionalidade desconhecida do arquivo ManageAttachments.php. A manipulação do argumento `Notice` resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado com antecedência sobre esta divulgação. **Recomendações** Para o SimpleMachines SMF versão 2.1.4, como solução temporária, considere restringir o acesso ao arquivo `ManageAttachments.php` até que um patch esteja disponível. Evite utilizar o argumento `Notice` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SimpleMachines SMF versão 2.1.4 **Descrição** Uma vulnerabilidade foi encontrada no SimpleMachines SMF, afetando uma parte desconhecida do arquivo ManageNews.php. A manipulação do argumento `subject`/`message` resulta em cross-site scripting. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação. **Recomendações** Para o SimpleMachines SMF versão 2.1.4, considere desabilitar a manipulação do argumento `subject`/`message` no arquivo ManageNews.php até que um patch esteja disponível. Restrinja o acesso ao arquivo ManageNews.php para minimizar o risco de exploração. Evite utilizar o argumento `subject`/`message` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Microweber versão 2.0.19 Descrição: Foi identificado um problema no componente Settings Handler, especificamente no arquivo userfiles/modules/settings/group/website group/index.php. A falha permite a execução de Cross-Site Scripting através da manipulação do argumento `group`. Isso pode ser iniciado remotamente. Recomendações: Para a versão 2.0.19 do Microweber, atualmente não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SimpleMachines SMF versão 2.1.4 **Descrição** Foi encontrada uma vulnerabilidade no componente User Alert Read Status Handler, especificamente no arquivo /index.php?action=profile;u=2;area=showalerts;do=read. A manipulação do argumento `aid` leva ao controle inadequado dos identificadores de recursos. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o SimpleMachines SMF versão 2.1.4, como solução temporária, considere restringir o acesso ao endpoint /index.php?action=profile;u=2;area=showalerts;do=read até que um patch esteja disponível. Evite manipular o argumento `aid` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SimpleMachines SMF versão 2.1.4 **Descrição** Foi encontrada uma falha crítica no componente Delete User Handler, especificamente no arquivo /index.php?action=profile;u=2;area=showalerts;do=remove. A manipulação do argumento `aid` leva ao controle inadequado de identificadores de recursos, permitindo ataques remotos. A exploração foi divulgada publicamente e pode ser utilizada, resultando potencialmente em acesso não autorizado e comprometimento do sistema. **Recomendações** Para o SimpleMachines SMF versão 2.1.4, aplique o patch imediatamente para evitar a exploração. Além disso, monitore tentativas de exploração para minimizar o risco de acesso não autorizado e comprometimento do sistema. Como solução temporária, considere restringir o acesso ao componente Delete User Handler ou desativar a manipulação do argumento `aid` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Plugin SP Project & Document Manager para WordPress, versões 4.71 e anteriores **Descrição** O problema está relacionado à falta de validação na função de upload do plugin, permitindo que um usuário manipule a variável `user id` para fazer parecer que um arquivo foi enviado por outro usuário. Isso pode levar a acesso não autorizado. **Recomendações** Para o plugin SP Project & Document Manager para WordPress, versões 4.71 e anteriores: atualize o plugin para a versão corrigida mais recente imediatamente. Como solução temporária, considere restringir o acesso à função de upload para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin SP Project & Document Manager para WordPress, versões 4.71 e anteriores **Descrição** A vulnerabilidade permite que um usuário conectado visualize e baixe arquivos pertencentes a outro usuário devido à falta de controles de acesso adequados. **Recomendações** Para as versões 4.71 e anteriores, atualize para uma versão que inclua controles de acesso adequados para impedir o acesso não autorizado aos arquivos. Como solução temporária, considere restringir as permissões de acesso aos arquivos para minimizar o risco de exploração.