Hansmach1Ne

**Nome do software vulnerável e versões afetadas** Cuppa CMS versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de inclusão de arquivo local (LFI). Ela afeta o componente `/templates/default/html/windows/right.php`. **Recomendações** Para o Cuppa CMS versão 1.0, considere restringir o acesso ao componente `/templates/default/html/windows/right.php` até que uma correção esteja disponível. Como solução temporária, evite usar o componente vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 2.9.1 **Descrição** O GLPI é um sistema de código aberto para gerenciamento de ativos de TI, rastreamento de problemas e central de atendimento. O plugin de endereçamento do GLPI apresenta uma vulnerabilidade de execução remota de código autenticada, permitindo o acesso ao sistema operacional subjacente do servidor por meio do abuso de funcionalidades de injeção de comandos. **Recomendações** Para versões anteriores à 2.9.1, atualize para a versão 2.9.1 ou posterior. Como solução temporária, considere desativar o plug-in de endereçamento até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Versões do GLPI anteriores à 2.6.1 Descrição: O problema está relacionado a uma vulnerabilidade de traversal de caminho em instâncias do GLPI com o plugin de código de barras instalado. Essa vulnerabilidade foi corrigida na versão 2.6.1. Recomendações: Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 para resolver o problema. Como solução alternativa temporária, considere excluir o arquivo `front/send.php`.

**Nome do software vulnerável e versões afetadas: OpenCATS versões 0.9.5-3 e anteriores Descrição: O problema decorre da deserialização insegura de solicitações para “index.php?m=activity”, levando à execução remota de código. Isso ocorre porque o arquivo lib/DataGrid.php chama o método `unserialize` para o parâmetro `activity:ActivityDataGrid`. A cadeia de exploração de injeção de objeto PHP pode aproveitar um método mágico destruct no guzzlehttp. Recomendações: Para as versões 0.9.5-3 e anteriores do OpenCATS, considere desativar a chamada da função `unserialize` em lib/DataGrid.php para o parâmetro `activity:ActivityDataGrid` até que um patch esteja disponível. Restrinja o acesso ao endpoint “index.php?m=activity” para minimizar o risco de exploração. Evite usar o parâmetro `activity:ActivityDataGrid` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: OpenCATS versões 0.9.5-3 e anteriores Descrição: O problema diz respeito a várias falhas de Cross-site Scripting (XSS). Cross-site Scripting é um tipo de vulnerabilidade de segurança que permite que um invasor injete scripts maliciosos em um site, podendo levar ao acesso não autorizado ou ao controle das sessões dos usuários. Recomendações: Para as versões 0.9.5-3 e anteriores do OpenCATS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.