Georg Ph E Heise

**Nome do software vulnerável e versões afetadas** Programi Bilanc Build 007 Release 014 31/01/2020 **Descrição** O problema diz respeito a credenciais codificadas em um arquivo .exe fornecido pelo Programi Bilanc, permitindo que invasores remotos obtenham acesso à infraestrutura completa, incluindo o site, o servidor de atualizações e ferramentas externas de rastreamento de problemas. Esse acesso pode potencialmente levar a violações de segurança significativas. **Recomendações** Para o Programi Bilanc Build 007 Release 014 31.01.2020, considere remover ou armazenar com segurança as credenciais codificadas no arquivo .exe para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso aos servidores e à infraestrutura que utilizam essas credenciais até que uma atualização segura esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Programi Bilanc, versões build 007, release 014, 31/01/2020 e anteriores **Descrição** Foi detectada uma falha pela qual os pacotes de atualização de software são baixados via HTTP em texto simples, o que pode expor as atualizações a interceptação ou adulteração. **Recomendações** Para as versões build 007, release 014, de 31/01/2020 e anteriores, considere usar uma conexão segura, como HTTPS, para baixar pacotes de atualização de software, a fim de evitar possíveis interceptações ou adulterações. Como solução temporária, restrinja o acesso ao mecanismo de atualização até que um processo de atualização seguro seja implementado.

**Nome do software vulnerável e versões afetadas** Programi Bilanc - Build 007 Release 014 31/01/2020 **Descrição** Foi detectada uma falha no Programi, que apresenta várias vulnerabilidades de injeção de SQL. **Recomendações** Para o Programi Bilanc - Build 007 Release 014 31.01.2020, considere restringir o acesso a consultas sensíveis ao banco de dados para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Programi Bilanc anteriores à compilação 007, lançamento 014, de 31/01/2020 **Descrição** Foi detectada uma falha que se deve a uma criptografia defeituosa, com uma chave de criptografia estática fraca e fácil de adivinhar. **Recomendações** Para versões anteriores à compilação 007, versão 014, de 31/01/2020, considere atualizar para uma versão mais recente que corrija o problema de criptografia defeituosa. Como solução temporária, restrinja o acesso a dados confidenciais que possam estar criptografados com a chave fraca até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Programi Bilanc build 007, versão 014, de 31/01/2020 e possivelmente versões anteriores **Descrição** Foi descoberta uma falha no Programi Bilanc, na qual o acesso administrativo é configurado por padrão com a conta `admin` e a senha `0000` durante a instalação. Após a instalação, os usuários/administradores não são solicitados a alterar essa senha. **Recomendações** Para o Programi Bilanc build 007 release 014 31.01.2020 e possivelmente versões anteriores, considere alterar a senha administrativa padrão `0000` para uma senha forte após a instalação, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso à conta administrativa `admin` até que uma configuração mais segura possa ser implementada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Matrix42 Workspace Management, versões 9.1.2.2765 e anteriores **Descrição** O problema diz respeito ao parâmetro “Search” na seção “Software Catalogue”, que aceita parâmetros não filtrados. Isso leva a várias vulnerabilidades de XSS refletido. **Recomendações** Para as versões 9.1.2.2765 e anteriores, considere restringir o acesso ao parâmetro de pesquisa na seção Catálogo de Software até que uma correção esteja disponível. Como solução alternativa temporária, evite usar parâmetros não filtrados na função de pesquisa para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Matrix42 Workspace Management versões 9.1.2.2765 e anteriores **Descrição** A vulnerabilidade permite um ataque XSS armazenado por meio de parâmetros de descrição não filtrados, conforme demonstrado pelo campo de comentários de um pedido especial de software individual. Isso pode ser explorado através do parâmetro `description` no campo de comentários. **Recomendações** Para as versões 9.1.2.2765 e anteriores do Matrix42 Workspace Management, considere desativar o campo de comentários para pedidos especiais até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de XSS armazenado. Restrinja o acesso aos parâmetros de descrição para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Intland codeBeamer ALM versões 9.5 e anteriores **Descrição** O problema está relacionado a um ataque XSS armazenado (stored XSS) por meio do parâmetro `Trackers Title`. Isso permite que código malicioso seja armazenado e executado quando um usuário visualiza a página afetada. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 9.5 e anteriores do Intland codeBeamer ALM, atualize para uma versão posterior à 9.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `Trackers Title` para minimizar o risco de exploração.