Gabor Szivos

**Nome do software vulnerável e versões afetadas** Versões do Kentico CMS anteriores à 13.0.66 **Descrição** A vulnerabilidade permite que um invasor com direitos de gerenciamento de usuários, como um administrador, exporte as configurações de qualquer usuário, incluindo aqueles com privilégios superiores, como administradores globais. O arquivo XML exportado contém todas as configurações do usuário em questão, incluindo a senha criptografada. **Recomendações** Para versões anteriores à 13.0.66, atualize para a versão 13.0.66 ou posterior para resolver o problema. Como solução temporária, considere restringir os direitos de gerenciamento de usuários para impedir o acesso não autorizado às opções do usuário.

**Nome do software vulnerável e versões afetadas** Versões do Genesys Intelligent Workload Distribution (IWD) anteriores à 9.0.013.11 **Descrição** Uma vulnerabilidade de injeção de SQL no componente de consulta de filtro personalizado permite que um invasor execute consultas SQL arbitrárias por meio do parâmetro `ql expression`. Isso possibilita a extração de todos os dados do banco de dados e, potencialmente, permite a execução de comandos do sistema operacional, dependendo das permissões e/ou do mecanismo do banco de dados. **Recomendações** Para versões anteriores à 9.0.013.11, atualize para a versão 9.0.013.11 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente de consulta de filtro personalizado para minimizar o risco de exploração. Evite usar o parâmetro `ql expression` no componente afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Genesys Intelligent Workload Distribution (IWD) versão 9.0.017.07 **Descrição** Uma vulnerabilidade de injeção de SQL no componente de consulta de filtro personalizado permite que um invasor execute consultas SQL arbitrárias por meio do atributo `value`. Isso possibilita a extração de todos os dados do banco de dados e, potencialmente, permite a execução de comandos do sistema operacional, dependendo das permissões e/ou do mecanismo do banco de dados. **Recomendações** Para o Genesys Intelligent Workload Distribution (IWD) versão 9.0.017.07, considere restringir o acesso ao componente de consulta de filtro personalizado para minimizar o risco de exploração. Evite usar o atributo `value` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.