Grzegorz Misiun

Name of the Vulnerable Software and Affected Versions Cisco Integrated Management Controller (versões afetadas não especificadas) Description Uma falha existe na interface de gerenciamento baseada na web do Cisco IMC que pode permitir que um invasor remoto com privilégios de nível de administrador execute código arbitrário como o usuário root. Isso ocorre devido à validação inadequada de entradas fornecidas pelo usuário para a interface de gerenciamento baseada na web. Um invasor pode explorar isso enviando solicitações HTTP criadas para um dispositivo afetado. A exploração bem-sucedida pode permitir que o invasor execute código arbitrário no sistema operacional subjacente como o usuário root. Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Cisco IMC (affected versions not specified) Description A flaw exists in the web-based management interface of Cisco IMC that may allow a remote attacker with administrative privileges to perform a stored Cross-Site Scripting (XSS) attack against a user of the interface. This is caused by inadequate validation of user input. An attacker could potentially trick a user into clicking a malicious link, leading to the execution of arbitrary script code in the user's browser or the compromise of sensitive browser-based information. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Cisco Integrated Management Controller (IMC) (versões afetadas não especificadas) **Description** Uma falha existe na interface de gerenciamento baseada na web do Cisco IMC que pode permitir que um invasor remoto com privilégios de somente leitura injete comandos e execute comandos arbitrários como o usuário root. Isso se deve à validação insuficiente da entrada fornecida pelo usuário. Um invasor pode explorar isso enviando comandos criados para a interface de gerenciamento baseada na web. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Cisco IMC (versões afetadas não especificadas) Description Uma falha existe na interface de gerenciamento baseada na web do Cisco IMC que pode permitir que um invasor remoto autenticado com privilégios de nível de administrador execute comandos arbitrários como o usuário root. Isso ocorre devido à validação insuficiente de dados fornecidos pelo usuário. Um invasor pode explorar isso enviando comandos criados para a interface de gerenciamento baseada na web. A exploração bem-sucedida pode levar à execução arbitrária de comandos no sistema operacional subjacente com privilégios de root. Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Cisco Integrated Management Controller (versões afetadas não especificadas) Description Uma falha existe na interface de gerenciamento baseada na web do Cisco IMC que pode permitir que um invasor remoto com privilégios de nível de administrador injete comandos e execute código arbitrário como o usuário root. Isso se deve à validação insuficiente de dados fornecidos pelo usuário. Um invasor pode explorar isso enviando comandos criados para a interface de gerenciamento baseada na web. A exploração bem-sucedida pode levar à execução de comandos arbitrários no sistema operacional com privilégios de root. Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Cisco IMC (affected versions not specified) Description A flaw exists in the web-based management interface of Cisco IMC that could allow a remote attacker to perform a reflected cross-site scripting (XSS) attack against a user. This is caused by inadequate validation of user input. An attacker could trick a user into clicking a specially crafted link, potentially leading to the execution of arbitrary script code in the user's browser or the compromise of sensitive browser-based information. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions Cisco Integrated Management Controller (affected versions not specified) Description A flaw exists in the web-based management interface of Cisco IMC due to insufficient validation of user input. This could allow an authenticated, remote attacker with administrative privileges to conduct a stored cross-site scripting (XSS) attack against a user of the interface. An attacker could exploit this by persuading a user to click a crafted link, potentially allowing the execution of arbitrary script code in the user's browser or access to sensitive, browser-based information. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions Cisco IMC (affected versions not specified) Description A flaw exists in the web-based management interface of Cisco IMC that could allow a remote attacker with administrative privileges to perform a stored cross-site scripting (XSS) attack against a user of the interface. This is due to inadequate validation of user input. An attacker could trick a user into clicking a malicious link, potentially enabling the execution of arbitrary script code in the user's browser or gaining access to sensitive browser-based information. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions Cisco IMC (affected versions not specified) Description A flaw exists in the web-based management interface of Cisco IMC that could allow a remote attacker with administrative privileges to perform a stored cross-site scripting (XSS) attack against a user of the interface. This is due to inadequate validation of user input. An attacker could potentially trick a user into clicking a malicious link, which could lead to the execution of arbitrary script code in the user's browser or the compromise of sensitive browser-based information. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do Backdrop CMS 1.28.x até 1.28.4 Versões do Backdrop CMS 1.29.x até 1.29.2 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) foi descoberta no Backdrop CMS ao utilizar o editor de texto rich text CKEditor 5. O problema surge porque o sistema não isola suficientemente o conteúdo de texto longo, permitindo que um potencial atacante crie HTML e JavaScript especializados que podem ser executados quando um administrador tenta editar um conteúdo. Este problema é mitigado pelo fato de que um atacante deve ter a capacidade de criar conteúdo de texto longo e um administrador deve editar o conteúdo que contém o conteúdo malicioso. Recomendações: Para as versões do Backdrop CMS 1.28.x até 1.28.4, atualize para a versão 1.28.5 ou posterior. Para as versões do Backdrop CMS 1.29.x até 1.29.2, atualize para a versão 1.29.3 ou posterior. Como solução temporária, considere desativar o módulo CKEditor 5 até que uma correção esteja disponível. Restrinja o acesso aos formulários de nó ou comentário para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Backdrop CMS de 1.28.x até 1.28.4 Versões do Backdrop CMS de 1.29.x até 1.29.2 Descrição: Foi descoberto um problema de segurança relacionado à validação de imagens SVG carregadas. Essas imagens podem conter links clicáveis e scripts executáveis. Um atacante poderia potencialmente executar scripts no navegador quando uma imagem SVG é visualizada diretamente através de sua URL. No entanto, o atacante deve ter a capacidade de carregar imagens SVG, e a execução de scripts é impedida quando o SVG é incorporado dentro de tags `<img>`. Recomendações: Para as versões do Backdrop CMS de 1.28.x até 1.28.4, atualize para a versão 1.28.5 ou posterior. Para as versões do Backdrop CMS de 1.29.x até 1.29.2, atualize para a versão 1.29.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.12 Versões do Mattermost 9.5.x a 9.5.3 Versões do Mattermost 9.6.x a 9.6.1 Versões do Mattermost 9.7.x a 9.7.1 **Descrição** O problema decorre da falha na verificação se a opção de configuração de cadastro por e-mail está ativada quando um usuário solicita a mudança da autenticação SAML para a autenticação por e-mail. Isso permite que um usuário altere seu método de autenticação e, potencialmente, edite detalhes pessoais que, de outra forma, não seriam editáveis e foram fornecidos pelo provedor SAML. **Recomendações** Para as versões 8.1.x a 8.1.12 do Mattermost, atualize para uma versão posterior à 8.1.12 para resolver o problema. Para as versões 9.5.x a 9.5.3 do Mattermost, atualize para uma versão posterior à 9.5.3 para resolver o problema. Para as versões 9.6.x a 9.6.1 do Mattermost, atualize para uma versão posterior à 9.6.1 para resolver o problema. Para as versões 9.7.x a 9.7.1 do Mattermost, atualize para uma versão posterior à 9.7.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Mattermost 8.1.x a 8.1.11 Versões do Mattermost 9.4.x a 9.4.4 Versões do Mattermost 9.5.x a 9.5.2 Versões do Mattermost 9.6.x a 9.6.0 **Descrição** A vulnerabilidade permite que um invasor obtenha informações sobre o servidor, incluindo o caminho completo onde os arquivos estão armazenados, devido ao fato de mensagens de erro detalhadas não serem removidas nas solicitações de API, mesmo quando o modo de desenvolvedor está desativado. **Recomendações** Para as versões 8.1.x a 8.1.11, atualize para uma versão posterior à 8.1.11 para resolver o problema. Para as versões 9.4.x a 9.4.4, atualize para uma versão posterior à 9.4.4 para resolver o problema. Para as versões 9.5.x a 9.5.2, atualize para uma versão posterior à 9.5.2 para resolver o problema. Para as versões 9.6.x a 9.6.0, atualize para uma versão posterior à 9.6.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a pontos de extremidade da API que possam revelar mensagens de erro detalhadas até que um patch esteja disponível.