Hibiki Moriyama

**Nome do software vulnerável e versões afetadas** Versões do Webmin anteriores à 1.970 Versões do Usermin anteriores à 1.820 **Descrição** Existe uma vulnerabilidade de cross-site scripting devido à proteção inadequada da estrutura da página da Web no script session login.cgi do Webmin e do Usermin. Isso pode ser explorado por um invasor remoto para realizar ataques de cross-site scripting usando um link especialmente criado, permitindo potencialmente que um script arbitrário seja executado no navegador do usuário, alterando páginas da Web ou divulgando informações confidenciais, como credenciais. **Recomendações** Para versões do Webmin anteriores à 1.970, atualize para a versão 1.970 ou posterior para resolver o problema. Para versões do Usermin anteriores à 1.820, atualize para a versão 1.820 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao script session login.cgi até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Forminator anteriores à 1.15.4 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting. Se explorada, um invasor remoto pode obter informações do usuário e alterar o conteúdo da página no navegador do usuário. A vulnerabilidade está associada à falta de medidas de proteção na estrutura da página da web, o que poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas e realizasse ataques de cross-site scripting. **Recomendações** Para versões anteriores à 1.15.4, atualize para a versão 1.15.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais do usuário e monitorar o conteúdo da página da web para detectar quaisquer alterações não autorizadas.

**Nome do software vulnerável e versões afetadas** Plugin A-Form do Movable Type, versões anteriores à 4.1.1 (para a série Movable Type 7) Plugin A-Form do Movable Type, versões anteriores à 3.9.1 (para a série Movable Type 6) **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto não autenticado injete um script arbitrário. **Recomendações** Para as versões do plugin A-Form do Movable Type anteriores à 4.1.1 (para a série Movable Type 7), atualize para a versão 4.1.1 ou posterior. Para as versões do plugin A-Form do Movable Type anteriores à 3.9.1 (para a série Movable Type 6), atualize para a versão 3.9.1 ou posterior.

**Nome do software vulnerável e versões afetadas** exceedone/exment versões 5.0.2 e anteriores exceedone/exment versões 4.4.2 e anteriores exceedone/laravel-admin versões 3.0.0 e anteriores exceedone/laravel-admin versões 2.2.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL que permite que invasores remotos autenticados executem comandos SQL arbitrários. Isso pode potencialmente permitir que um invasor acesse e manipule o banco de dados do aplicativo. **Recomendações** Para as versões 5.0.2 e anteriores do exceedone/exment, atualize para uma versão posterior à 5.0.2 para resolver o problema. Para as versões 4.4.2 e anteriores do exceedone/exment, atualize para uma versão posterior à 4.4.2 para resolver o problema. Para as versões 3.0.0 e anteriores do exceedone/laravel-admin, atualize para uma versão posterior à 3.0.0 para resolver o problema. Para as versões 2.2.2 e anteriores do exceedone/laravel-admin, atualize para uma versão posterior à 2.2.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao banco de dados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** exceedone/exment versões 5.0.2 e anteriores exceedone/exment versões 4.4.2 e anteriores exceedone/laravel-admin versões 3.0.0 e anteriores exceedone/laravel-admin versões 2.2.2 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting refletido permite que um invasor remoto autenticado injete um script arbitrário. **Recomendações** Para as versões 5.0.2 e anteriores do exceedone/exment, atualize para uma versão posterior à 5.0.2 para resolver o problema. Para as versões 4.4.2 e anteriores do exceedone/exment, atualize para uma versão posterior à 4.4.2 para resolver o problema. Para as versões 3.0.0 e anteriores do exceedone/laravel-admin, atualize para uma versão posterior à 3.0.0 para resolver o problema. Para as versões 2.2.2 e anteriores do exceedone/laravel-admin, atualize para uma versão posterior à 2.2.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões 1.0.0 a 1.14.2 do SHIRASAGI Versão 1.15.0 do SHIRASAGI **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto injete um script arbitrário por meio de vetores não especificados. **Recomendações** Para as versões 1.0.0 a 1.14.2 do SHIRASAGI, atualize para uma versão que não seja afetada por esta vulnerabilidade. Para a versão 1.15.0 do SHIRASAGI, atualize para uma versão que não seja afetada por esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do a-blog cms anteriores à 2.8.75 Versões do a-blog cms anteriores à 2.9.40 Versões do a-blog cms anteriores à 2.10.44 Versões do a-blog cms anteriores à 2.11.42 Versões do a-blog cms anteriores à 3.0.1 **Descrição** A vulnerabilidade permite que um invasor remoto autenticado obtenha um arquivo arbitrário no servidor. Isso se deve a uma vulnerabilidade de injeção de modelo, causada pela neutralização inadequada de elementos especiais usados em um mecanismo de modelos. **Recomendações** Para versões anteriores à 2.8.75, atualize para a versão 2.8.75 ou posterior. Para versões anteriores à 2.9.40, atualize para a versão 2.9.40 ou posterior. Para versões anteriores à 2.10.44, atualize para a versão 2.10.44 ou posterior. Para versões anteriores à 2.11.42, atualize para a versão 2.11.42 ou posterior. Para versões anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior.