François Mehault

**Nome do software vulnerável e versões afetadas** Maarch RM versão 2.8.3 **Descrição** O problema está relacionado a uma restrição inadequada de tentativas excessivas de autenticação, devido a respostas excessivamente detalhadas da aplicação. Isso poderia permitir que um invasor remoto não autenticado explorasse a vulnerabilidade, levando ao comprometimento de contas. **Recomendações** Para o Maarch RM versão 2.8.3, considere implementar limitação de taxa ou bloqueio de IP para restringir tentativas excessivas de autenticação como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo de autenticação para minimizar o risco de exploração. Evite usar respostas detalhadas no aplicativo para reduzir a superfície de ataque.

**Nome do software vulnerável e versões afetadas** Maarch RM versão 2.8 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL autenticada na página de estatísticas, especificamente no endpoint da API “/statistics/retrieve”, por meio do parâmetro `filter`. Essa vulnerabilidade permite a divulgação completa de todas as bases de dados. **Recomendações** Para o Maarch RM versão 2.8, como solução temporária, considere restringir o acesso ao endpoint da API “/statistics/retrieve” até que uma correção esteja disponível. Evite usar o parâmetro `filter` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Maarch RM versão 2.8.3 **Descrição** O problema diz respeito a uma vulnerabilidade de falha no controle de acesso. Ao acessar documentos específicos, como PDFs ou e-mails, a partir de um arquivo, o aplicativo oferece uma pré-visualização. Essa pré-visualização gera uma URL que inclui um hash MD5 do arquivo acessado. A URL do documento, no formato https://{url}/tmp/{hash MD5 do documento}, torna-se acessível sem a necessidade de autenticação. **Recomendações** Para o Maarch RM versão 2.8.3, considere restringir o acesso ao recurso de visualização até que uma correção esteja disponível ou implemente um mecanismo de autenticação adicional para as URLs geradas, a fim de impedir o acesso não autorizado.