Jim

**Nome do software vulnerável e versões afetadas** Versões do Microsoft Office anteriores à versão corrigida Microsoft Office 2016 Microsoft Office 2019 Microsoft Office LTSC 2021 Microsoft 365 Apps for Enterprise **Descrição** Uma vulnerabilidade de falsificação de identidade no Microsoft Office permite que invasores comprometam o sistema. A vulnerabilidade está relacionada à proteção insuficiente dos dados de serviço e pode ser explorada por um invasor para roubar hashes NTLM. Isso pode ser feito direcionando a vítima a um site ou abrindo um arquivo especialmente criado. A vulnerabilidade afeta várias versões do Microsoft Office, incluindo Office 2016, Office 2019, Office LTSC 2021 e Microsoft 365 Apps for Enterprise. **Recomendações** Para o Microsoft Office 2016, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o Microsoft Office 2019, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o Microsoft Office LTSC 2021, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o Microsoft 365 Apps for Enterprise, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, considere bloquear o tráfego NTLM para minimizar o risco de exploração. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `user id` no endpoint da API afetado até que o problema seja resolvido. Configure a definição de política Segurança de Rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos para bloquear o

**Name of the Vulnerable Software and Affected Versions** phpArcadeScript versions 2.0 and earlier **Description** The issue allows remote attackers to inject arbitrary web script or HTML via several parameters, including `gamename` in "tellafriend.php", `login status` in "loginbox.php", `submissionstatus` in "index.php", `cell title background color` and `browse cat name` in "browse.php", and `gamefile` in "displaygame.php". This could potentially affect a large number of devices worldwide, although the exact number is not specified. There is no information provided about real-world incidents where this issue was exploited. **Recommendations** For phpArcadeScript versions 2.0 and earlier, consider disabling the affected parameters, such as `gamename`, `login status`, `submissionstatus`, `cell title background color`, `browse cat name`, and `gamefile`, until a patch is available. Restrict access to the vulnerable PHP scripts, including "tellafriend.php", "loginbox.php", "index.php", "browse.php", and "displaygame.php", to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.