Jr0Ch17

**Nome do Software Vulnerável e Versões Afetadas** IBM Aspera Shares versões 1.9.9 até 1.10.0 PL7 **Descrição** Esta falha permite que um atacante remoto autenticado exponha informações sensíveis ou consuma recursos de memória por meio de um ataque de injeção de entidade externa XML (XXE) ao processar dados XML. **Recomendações** Para as versões 1.9.9 até 1.10.0 PL7, atualize para uma versão que inclua uma correção para a falha de injeção de entidade externa XML a fim de prevenir ataques XXE.

Nome do Software Vulnerável e Versões Afetadas: IBM Aspera Shares versões 1.9.0 até 1.10.0 PL6 Descrição: Este problema permite que usuários autenticados insiram código JavaScript arbitrário na Interface Web, potencialmente alterando a funcionalidade pretendida e resultando na divulgação de credenciais dentro de uma sessão confiável. A vulnerabilidade está relacionada a cross-site scripting armazenado. Recomendações: Para as versões 1.9.0 até 1.10.0 PL6 do IBM Aspera Shares, considere desabilitar o acesso à Interface Web até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de cross-site scripting armazenado. Restrinja a entrada de dados do usuário para minimizar o risco de inserção de código JavaScript arbitrário.

Nome do Software Vulnerável e Versões Afetadas: IBM Aspera Shares versões 1.9.0 até 1.10.0 PL6 Descrição: O problema permite que um atacante falsifique seu endereço IP, que é então gravado nos arquivos de log, devido à verificação inadequada dos cabeçalhos `Client-IP`. Recomendações: Para as versões 1.9.0 até 1.10.0 PL6, considere implementar a verificação adequada dos cabeçalhos `Client-IP` para prevenir a falsificação de endereço IP. Como medida paliativa temporária, restrinja o acesso aos arquivos de log para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Gotenberg até a 6.2.1 **Descrição** Existe uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) na conversão remota de URL para PDF, permitindo que um invasor remoto leia arquivos locais ou acesse recursos da intranet. **Recomendações** Para as versões do Gotenberg até a 6.2.1, atualize para uma versão posterior à 6.2.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de conversão de URL remota para PDF até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Gotenberg até a 6.2.1 **Descrição** A vulnerabilidade permite a injeção de HTML e/ou JavaScript no processo de conversão de HTML para PDF. Isso é possível por meio do endpoint “http://localhost:3000/convert/html”. **Recomendações** Para versões até a 6.2.1, como solução temporária, considere restringir o acesso ao endpoint /convert/html até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.