G03M0N

Cross Site Scripting vulnerability in Koha 25.11 and before allows a remote attacker to execute arbitrary code via file upload function in Invoice features

**Nome do Software Vulnerável e Versões Afetadas** Koha versões anteriores a 25.11 **Descrição** Um problema de Server-Side Request Forgery (SSRF) existe através da configuração do servidor Z39.50/SRU, o que permite que atacantes autenticados realizem varreduras de rede interna e identifiquem serviços em execução analisando os tempos de resposta do servidor. Além disso, o módulo de configuração Z39.50 pode permitir que um atacante remoto execute código arbitrário. **Recomendações** Atualize para uma versão posterior a 25.11. Restrinja o acesso ao módulo de configuração Z39.50 para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Koha 25.11 e anteriores **Descrição** Existe uma vulnerabilidade de Cross Site Scripting no Koha. Um atacante remoto pode ser capaz de executar código arbitrário por meio da função de Notícias. O problema permite a injeção de scripts maliciosos em páginas web visualizadas por outros usuários. O componente vulnerável é a função de Notícias. **Recomendações** Atualize para uma versão do Koha superior à 25.11.

**Nome do software vulnerável e versões afetadas** Ruoyi versões 4.7.9 e anteriores **Descrição** Foi detectada uma vulnerabilidade de script entre sites (XSS) no Ruoyi por meio do parâmetro `sql` da função `createTable()` em “/tool/gen/create”. Isso permite uma possível exploração. **Recomendações** Para as versões 4.7.9 e anteriores, como solução temporária, considere desativar a função `createTable()` até que um patch esteja disponível. Restrinja o acesso ao endpoint “/tool/gen/create” para minimizar o risco de exploração. Evite usar o parâmetro `sql` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.