Jackson Henry

**Nome do software vulnerável e versões afetadas** Versões 2.2.7 e anteriores do XenForo **Descrição** Um agente mal-intencionado com acesso ao painel de administração pode criar um novo anúncio por meio da função de publicidade e salvar uma carga XSS no corpo do documento HTML. Essa carga será executada globalmente no lado do cliente. **Recomendações** Para as versões 2.2.7 e anteriores do XenForo, como solução temporária, considere desativar a função de publicidade até que uma correção esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar a função de publicidade para salvar documentos HTML que possam conter cargas maliciosas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Keybase Desktop Client anteriores à 5.6.0 no Windows e no macOS Versões do Keybase Desktop Client anteriores à 5.6.1 no Linux Descrição: A vulnerabilidade permite que um invasor obtenha arquivos de mídia potencialmente confidenciais, como fotos privadas, nos diretórios Cache e uploadtemps. Isso ocorre porque o cliente não consegue limpar efetivamente as imagens armazenadas em cache, mesmo após a exclusão por meio do procedimento normal dentro do cliente ou utilizando a funcionalidade “Explode message/Explode now”. O invasor precisa de acesso ao sistema de arquivos local. Recomendações: Para versões anteriores à 5.6.0 no Windows e no macOS, atualize para a versão 5.6.0 ou posterior. Para versões anteriores à 5.6.1 no Linux, atualize para a versão 5.6.1 ou posterior. Como solução temporária, considere restringir o acesso aos diretórios Cache e uploadtemps até que um patch seja aplicado.