Gustav Hansen

**Name of the Vulnerable Software and Affected Versions** Zope versions prior to 4.8.10 and 5.8.5 **Description** Zope is an open-source web application server with a stored cross site scripting vulnerability for SVG images. The vulnerability can be exploited when an attacker uploads an image and tricks a user into following a specially crafted link. Note that an image tag with an SVG image as source is never vulnerable, even when the SVG image contains malicious code. **Recommendations** For Zope versions prior to 4.8.10, update to version 4.8.10 to resolve the issue. For Zope versions prior to 5.8.5, update to version 5.8.5 to resolve the issue. As a temporary workaround, make sure the `Add Documents, Images, and Files` permission is only assigned to trusted roles. By default, only the Manager has this permission.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 13 **Descrição** Esta vulnerabilidade permite que um usuário em uma posição privilegiada na rede possa, potencialmente, rastrear a atividade dos usuários. O problema foi resolvido com o aprimoramento da proteção de dados. **Recomendações** Para versões anteriores à 13, atualize para o macOS Ventura 13 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Plone de 2.1 a 4.3 Versões do Products.ATContentTypes anteriores à 3.0.6 **Descrição** O problema diz respeito a vulnerabilidades de cross-site scripting refletido e redirecionamento aberto. Um invasor pode explorar essas vulnerabilidades ao inserir uma versão comprometida da página `image view fullscreen` em um cache, como o Varnish, utilizando uma técnica conhecida como cache poisoning. Isso pode fazer com que qualquer visitante posterior seja redirecionado ao clicar em um link na página comprometida. Normalmente, apenas usuários anônimos são afetados, mas isso depende das configurações de cache do usuário. **Recomendações** Para as versões 2.1 a 4.3 do Plone, atualize o Products.ATContentTypes para a versão 3.0.6. Para versões do Products.ATContentTypes anteriores à 3.0.6, como solução alternativa temporária, certifique-se de que a página `image view fullscreen` não esteja armazenada no cache. Para implementar a solução alternativa no Plone: - Faça login como Administrador e acesse Configuração do Site. - Acesse o painel de controle ‘Cache’. - Clique na guia ‘Operações de cache’. - Em ‘Mapeamentos de modelos legados’, localize o conjunto de regras ‘Visualização de item de conteúdo’. - Na última coluna (‘Modelos’), remova `image view fullscreen`. - Clique em Salvar.