Filipe Reis

**Nome do software vulnerável e versões afetadas: Versões do componente HikaShop para Joomla anteriores à 2.6.0 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS), que ocorre quando é utilizada uma carga maliciosa injetada. Isso permite a execução de scripts maliciosos. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração. Evite usar componentes potencialmente vulneráveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do componente JNews para Joomla anteriores à 8.5.0 Descrição: A vulnerabilidade permite o upload arbitrário de arquivos, o que pode ser feito por meio dos módulos “Assinantes” ou “Modelos”. Isso é demonstrado pela possibilidade de fazer upload de arquivos com a extensão .php5. Recomendações: Para versões anteriores à 8.5.0, atualize para a versão 8.5.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de upload de arquivos nas seções Assinantes e Modelos até que a atualização seja aplicada. Evite usar o recurso de upload de arquivos nessas seções com usuários não confiáveis.

**Nome do software vulnerável e versões afetadas: Versões do componente JNews para Joomla anteriores à 8.5.0 Descrição: A vulnerabilidade permite a injeção de SQL por meio de vários campos, incluindo `upload thumbnail`, `Queue Search Field`, `Subscribers Search Field` ou `Newsletters Search Field`. Recomendações: Para versões anteriores à 8.5.0, atualize para a versão 8.5.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a `upload thumbnail`, `Queue Search Field`, `Subscribers Search Field` e `Newsletters Search Field` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do componente JNews para Joomla anteriores à 8.5.0 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS). Ela ocorre por meio do parâmetro `mailingsearch`. Recomendações: Para versões anteriores à 8.5.0, atualize para a versão 8.5.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `mailingsearch` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do componente AcyMailing para Joomla anteriores à 4.9.5 Descrição: O problema está relacionado a uma injeção de SQL no componente AcyMailing para Joomla. Ele pode ser explorado por meio do `exportgeolocorder` em uma solicitação `geolocation longitude` para “index.php”. Recomendações: Para versões anteriores à 4.9.5, atualize para a versão 4.9.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `exportgeolocorder` no endpoint “index.php” até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas: Componente JCE do Joomla, versões 2.5.0 a 2.5.2 Descrição: A vulnerabilidade permite o upload arbitrário de arquivos com extensão .php para um arquivo de imagem no script “/com jce/editor/libraries/classes/browser.php”. Recomendações: Para as versões 2.5.0 a 2.5.2, considere desativar a funcionalidade de upload no script browser.php até que uma correção esteja disponível. Restrinja o acesso ao script /com jce/editor/libraries/classes/browser.php para minimizar o risco de exploração. Evite usar a extensão .php para arquivos de imagem nas versões afetadas do componente JCE do Joomla até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do componente JEvents para Joomla anteriores à 3.4.0 RC6 Descrição: O problema está relacionado a uma injeção de SQL por meio da variável `evid` na ação “Gerenciar Eventos”. Isso permite uma possível exploração. Recomendações: Para versões anteriores à 3.4.0 RC6, atualize para a versão 3.4.0 RC6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação “Gerenciar Eventos” para minimizar o risco de exploração. Evite usar a variável `evid` no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** ManageEngine ServiceDesk Plus versions prior to 9312 **Description** The issue concerns an XML injection at the add Configuration items CMDB API. **Recommendations** For versions prior to 9312, update to version 9312 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** ManageEngine ServiceDesk Plus versions prior to 9314 **Description** The issue is related to a local file inclusion vulnerability. This vulnerability is located in the `defModule` parameter within the `DefaultConfigDef.do` and `AssetDefaultConfigDef.do` files. **Recommendations** For versions prior to 9314, update to version 9314 or later to resolve the issue. As a temporary workaround, consider restricting access to the `defModule` parameter in the affected files until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** TYPO3 versions 6.2.x through 6.2.18 **Description** A cross-site scripting (XSS) issue exists in the Backend component, allowing remote attackers to inject arbitrary web script or HTML via the `module` parameter when creating a bookmark. **Recommendations** For TYPO3 versions 6.2.x through 6.2.18, update to version 6.2.19 or later to resolve the issue.