Henri Salo

**Nome do software vulnerável e versões afetadas** Versões do OpenCart 1.4.7 a 1.5.5.1 **Descrição** O código anti-traversal implementado no arquivo filemanager.php do OpenCart é ineficaz e pode ser contornado. **Recomendações** Para as versões do OpenCart 1.4.7 a 1.5.5.1, considere restringir o acesso ao arquivo filemanager.php até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin TinyBrowser para o Joomla! versões anteriores à 1.5.13 **Descrição** A vulnerabilidade permite o upload arbitrário de arquivos por meio do arquivo upload.php. Isso pode potencialmente levar a acesso não autorizado e atividades maliciosas no sistema afetado. **Recomendações** Para versões anteriores à 1.5.13, atualize para a versão 1.5.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo upload.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Joomla! anteriores à 1.5.13 **Descrição** A vulnerabilidade permite o upload de arquivos e a execução arbitrária de código PHP por meio do navegador Tiny no editor TinyMCE 3.0. **Recomendações** Para versões anteriores à 1.5.13, atualize para a versão 1.5.13 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** phxEventManager versão 2.0 beta 5 **Descrição** A vulnerabilidade permite que invasores remotos executem comandos SQL arbitrários. Isso é possível por meio do parâmetro `search terms` no arquivo “search.php”. **Recomendações** Para o phxEventManager versão 2.0 beta 5, considere restringir o acesso ao arquivo “search.php” ou validar e sanitizar o parâmetro `search terms` para evitar ataques de injeção de SQL. Como solução temporária, evite usar o parâmetro `search terms` no arquivo afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Zenphoto anteriores à 1.4.3.4 **Descrição** O problema diz respeito a uma vulnerabilidade de script entre sites (XSS) no parâmetro `date` do arquivo `admin-news-articles.php`. Isso permite a possível injeção de scripts maliciosos. Não há informações sobre o número estimado de dispositivos afetados ou incidentes reais. **Recomendações** Para versões anteriores à 1.4.3.4, atualize para a versão 1.4.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `admin-news-articles.php` ou evitar o uso do parâmetro `date` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Plugin do WordPress wp-cleanfix (versões afetadas não especificadas) Descrição: A vulnerabilidade está relacionada à execução remota de código no plugin do WordPress wp-cleanfix. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Joomla! com mailto, versões 1.5.x a 1.5.13 **Descrição** A vulnerabilidade permite que o tempo limite de espera do e-mail seja contornado automaticamente. **Recomendações** Para as versões 1.5.x a 1.5.13, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Joomla! versão 1.7.1 **Descrição** A vulnerabilidade permite a divulgação de informações devido a uma criptografia fraca. **Recomendações** Para o Joomla! versão 1.7.1, atualize para uma versão que utilize criptografia mais forte a fim de evitar a divulgação de informações.

**Nome do software vulnerável e versões afetadas: Versões do módulo Flippy 7.x-1.x anteriores à 7.x-1.2 para Drupal Descrição: A vulnerabilidade permite que usuários remotos autenticados, com permissão para acessar conteúdo, leiam um link ou alias para um nó restrito devido a uma restrição de acesso inadequada aos nós. Recomendações: Para as versões 7.x-1.x do módulo Flippy anteriores à 7.x-1.2, atualize para a versão 7.x-1.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Havalite CMS versão 1.1.7 Descrição: O problema está relacionado a uma vulnerabilidade XSS armazenada. Recomendações: Para o Havalite CMS versão 1.1.7, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ImpressPages CMS anteriores à 1.0.13 **Descrição** O problema diz respeito a uma falha não especificada de execução remota de código no ImpressPages CMS. O número estimado de dispositivos potencialmente afetados não foi divulgado. Não há informações sobre incidentes reais em que essa falha tenha sido explorada. Os detalhes técnicos sobre a exploração não foram especificados. **Recomendações** Para versões anteriores à 1.0.13, atualize para a versão 1.0.13 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Jara versão 1.6 **Descrição** O problema é uma vulnerabilidade de injeção de SQL. **Recomendações** Para a versão 1.6 do Jara, atualize para uma versão que inclua uma correção para essa vulnerabilidade de injeção de SQL.

**Nome do software vulnerável e versões afetadas** Jara versão 1.6 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS). Cross-Site Scripting é um tipo de vulnerabilidade de segurança que ocorre quando um invasor consegue injetar scripts maliciosos em um site, os quais são então executados pelo navegador do usuário. **Recomendações** Para a versão 1.6 do Jara, atualize para uma versão que inclua uma correção para a vulnerabilidade XSS, se disponível. Como solução temporária, considere implementar validação e sanitização de entradas em todos os campos de entrada do usuário para minimizar o risco de exploração. Restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de ataques XSS.

**Nome do software vulnerável e versões afetadas** Simple Machine Forum (SMF) versões 1.0.4 e anteriores **Descrição** A falha permite que invasores remotos injetem instruções SQL arbitrárias, o que constitui um tipo de vulnerabilidade de injeção de SQL. Isso significa que um invasor pode executar código SQL não autorizado no banco de dados, o que pode levar à manipulação ou extração de dados. **Recomendações** Para as versões 1.0.4 e anteriores do Simple Machine Forum (SMF), atualize para uma versão posterior à 1.0.4 para resolver a vulnerabilidade de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PyForum versão 1.0.3 **Descrição** Foi encontrada uma porta dos fundos no PyForum, na qual um invasor que conheça o endereço de e-mail válido de um usuário poderia forçar uma redefinição de senha em nome desse usuário. **Recomendações** Para o PyForum versão 1.0.3, considere desativar o recurso de redefinição de senha até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao módulo de redefinição de senha para minimizar o risco de redefinições não autorizadas. Evite usar o endereço de e-mail como meio de autenticação na funcionalidade de redefinição de senha afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Joomla! versões 1.5x a 1.5.12 **Descrição** O problema está relacionado à ausência de uma verificação do JEXEC. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões do Joomla! 1.5x a 1.5.12, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** sNews versão 1.71 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) nas funções de reordenação do administrador. Isso permite a possível execução de scripts maliciosos. **Recomendações** Para a versão 1.71 do sNews, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Plugin Pretty-Link para WordPress, versão 1.5.2 **Descrição** A falha está relacionada a um problema de Cross-Site Scripting (XSS). O XSS é um tipo de vulnerabilidade de segurança que permite que um invasor insira scripts maliciosos em um site, o que pode levar a acesso ou controle não autorizado. **Recomendações** Para o plugin Pretty-Link para WordPress versão 1.5.2, atualize para uma versão mais recente que corrija o problema de XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** plow (affected versions not specified) **Description** The issue is a local buffer overflow. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Trac version 0.11.6 **Description** The issue allows an attacker to modify a ticket's status and resolution without proper permissions due to inadequate workflow permission checks. **Recommendations** For Trac version 0.11.6, update to a newer version that includes proper workflow permission checks to prevent unauthorized ticket modifications.