Jake Rawlins

**Nome do software vulnerável e versões afetadas** Lakeside Software SysTrack LsiAgent Installer versão 10.7.8 **Descrição** O problema é uma vulnerabilidade de escalonamento de privilégios local que permite que invasores obtenham acesso no nível do sistema (SYSTEM). Essa falha está presente no SysTrack LsiAgent Installer para Windows. A vulnerabilidade foi descoberta e relatada pela Mandiant, e foi explorada devido a falhas no processo de reparo do MSI. **Recomendações** Para a versão 10.7.8, atualize para a versão 11.0 para mitigar o risco. Como solução temporária, considere restringir o acesso ao instalador vulnerável até que um patch seja aplicado. Evite usar o SysTrack LsiAgent Installer para Windows vulnerável até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do Harris Ormed Self Service anteriores à 2019.1.4 Descrição: A vulnerabilidade permite que um usuário autenticado visualize formulários W-2 pertencentes a outros usuários por meio de um valor `empNo` arbitrário na URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee”, expondo assim informações confidenciais, incluindo informações fiscais dos funcionários, números de previdência social, endereços residenciais e muito mais. Recomendações: Para versões anteriores à 2019.1.4, atualize para a versão 2019.1.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee” para minimizar o risco de exploração. Evite usar valores arbitrários de `empNo` na URI afetada até que o problema seja resolvido.