Icare

**Nome do Software Vulnerável e Versões Afetadas** Kiteworks versões anteriores a 9.3.0 **Description** Kiteworks é uma rede de dados privada (PDN). Múltiplas vulnerabilidades de SQL Injection no Kiteworks Secure Data Forms permitem que um invasor autenticado com a função FormBuilder recupere informações sobre ou modifique definições de formulários de outros usuários e alguns parâmetros de configuração global. SQL Injection é um tipo de falha que permite a um invasor interferir nas consultas que um aplicativo faz ao seu banco de dados. **Recommendations** Atualize para a versão 9.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Kiteworks versões anteriores a 9.3.0 **Description** O Kiteworks é uma rede de dados privada (PDN). Um problema de Cross-Site Scripting (XSS) refletido no Kiteworks Secure Data Forms permite que um invasor externo engane um usuário para executar código JavaScript arbitrário. **Recommendations** Atualize para a versão 9.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Kiteworks versões anteriores a 9.3.0 **Description** Uma falha de Cross-Site Scripting (XSS) refletido no Kiteworks Secure Data Forms permite que um invasor externo engane um usuário para executar código JavaScript arbitrário. Cross-Site Scripting é uma falha onde scripts maliciosos são injetados em sites confiáveis. **Recommendations** Atualize para a versão 9.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Jenkins LDAP Plugin versões anteriores a 807.v7d7de30930cf **Description** O plugin desserializa dados de referências LDAP sem a devida validação. A desserialização é o processo de converter um fluxo de dados de volta em um objeto, o que, quando realizado em dados não confiáveis sem validação, pode levar a comprometimentos de segurança. **Recommendations** Atualize para uma versão posterior a 807.v7d7de30930cf.

**Nome do Software Vulnerável e Versões Afetadas** Sonatype Nexus Repository Manager versões 3.0.0 a 3.91.1 **Descrição** Um administrador autenticado que configura ou testa a conectividade LDAP pode iniciar conexões não intencionais do lado do servidor ao interagir com um servidor LDAP malicioso. **Recomendações** Atualize o Sonatype Nexus Repository Manager para uma versão posterior à 3.91.1.

**Nome do Software Vulnerável e Versões Afetadas** Kiteworks versões anteriores a 9.2.0 **Descrição** Há uma falha na funcionalidade de configuração do Kiteworks, uma rede privada de dados (PDN), que permite contornar as proteções contra Server-Side Request Forgery (SSRF) por meio de ataques de rebinding de DNS. Um administrador malicioso poderia explorar isso para acessar serviços internos que devem ser restringidos. **Recomendações** Atualize para a versão 9.2.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do Kiteworks anteriores à 9.2.0 Descrição O Kiteworks é uma rede de dados privada. Antes da versão 9.2.0, um problema de configuração permite o upload de arquivos arbitrários sem validação adequada. Um administrador malicioso poderia explorar isso para fazer upload de tipos de arquivos não autorizados para o sistema. Recomendações Atualize para a versão 9.2.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kiteworks anteriores à 9.2.0 **Descrição** O Kiteworks, uma rede de dados privada, contém uma falha em sua funcionalidade de execução de comandos. Usuários autenticados podem redirecionar a saída de comandos para locais arbitrários de arquivos, potencialmente sobrescrevendo arquivos críticos do sistema e obtendo acesso privilegiado. A `funcionalidade de execução de comandos` é suscetível à manipulação, permitindo sobrescritas de arquivos não autorizadas. **Recomendações** Atualize para a versão 9.2.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** LibreOffice (affected versions not specified) **Description** The issue is related to insufficient validation of requests on the server side, allowing attackers to access the file system using specially crafted ODT documents. This could enable the discovery of restricted network topology and services, as well as the inclusion of local files with read permissions of the open-xchange system user. The vulnerability is limited to specific file types, such as images. Improved content filters and validators have been implemented to prevent the inclusion of local resources. No publicly available exploits are known. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.