Ilyass-Armadin

**Nome do Software Vulnerável e Versões Afetadas** ERPNext versões anteriores a 15.104.3 ERPNext versões anteriores a 16.12.0 **Description** Uma restrição inadequada de referência a entidades externas XML (XXE) no Módulo EDI permite que um invasor autenticado leia arquivos do sistema de arquivos local, incluindo arquivos de configuração sensíveis. XXE é um tipo de ataque que ocorre quando um analisador XML processa incorretamente referências de entidades externas dentro de um documento XML. **Recommendations** Atualizar para a versão 15.104.3. Atualizar para a versão 16.12.0.

**Nome do Software Vulnerável e Versões Afetadas** Exiftool versões anteriores a 13.54 **Descrição** A injeção de código local é possível através da manipulação do argumento `-ee`. O problema reside na função `Process mrld()` dentro do arquivo `lib/Image/ExifTool/GM.pm`, afetando especificamente os componentes JPEG, QuickTime, MOV e MP4. **Recomendações** Atualizar para a versão 13.54.