Gaurish Kauthankar

**Name of the Vulnerable Software and Affected Versions** Pandora FMS versions prior to v767 **Description** A Cross-site Scripting (XSS) issue in the Special Days component allows an attacker to steal the session cookie value of admin users with little user interaction. **Recommendations** For versions prior to v767, update to version v767 or later to resolve the issue. As a temporary workaround, consider restricting access to the Special Days component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Pandora FMS Console versions prior to v767 **Description** The issue arises from a Reflected Cross Site Scripting vulnerability in the Search Functionality of the Module Library. This vulnerability is triggered by the forget password functionality, where the `username` parameter lacks proper input validation and sanitization, allowing the execution of malicious JavaScript payloads. **Recommendations** For versions prior to v767, update to a version that includes proper input validation and sanitization for the `username` parameter in the forget password functionality. As a temporary workaround, consider restricting access to the forget password functionality until a patch is available.

**Nome do software vulnerável e versões afetadas** Apache Tomcat (versões afetadas não especificadas) Pandora FMS versão 7.65 **Descrição** O problema diz respeito a erros de sincronização ao utilizar um recurso compartilhado no Apache Tomcat, o que poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. Além disso, há um problema de cross-site scripting armazenado no Pandora FMS, especificamente na funcionalidade de edição de mapas de rede. Isso poderia permitir que um invasor modificasse um mapa de rede para incluir uma carga XSS, que seria executada se um usuário administrador clicasse no mapa editado, levando potencialmente ao roubo do cookie do usuário administrador. **Recomendações** Para o Apache Tomcat, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para o Pandora FMS versão 7.65, considere restringir o acesso à funcionalidade de edição de mapas de rede até que um patch esteja disponível e evite clicar em mapas de rede editados para minimizar o risco de exploração.