Kağan Eğlence

**Nome do software vulnerável e versões afetadas** Versões do Apple tvOS anteriores à 15.4 Versões do Apple iOS anteriores à 15.4 Versões do Apple iPadOS anteriores à 15.4 **Descrição** Um problema de gravação fora dos limites foi corrigido com uma verificação de limites aprimorada, o que poderia permitir que um aplicativo executasse código arbitrário com privilégios de kernel. **Recomendações** Para versões do tvOS anteriores à 15.4, atualize para o tvOS 15.4 ou posterior. Para versões do iOS anteriores à 15.4, atualize para o iOS 15.4 ou posterior. Para versões do iPadOS anteriores à 15.4, atualize para o iPadOS 15.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 15.4 Versões do iPadOS anteriores à 15.4 **Descrição** O painel de autenticação GSMA poderia ser exibido na tela de bloqueio, permitindo que uma pessoa com acesso físico visualizasse e modificasse as informações e configurações da conta da operadora. Esse problema foi resolvido exigindo o desbloqueio do dispositivo para interagir com o painel de autenticação GSMA. **Recomendações** Para versões do iOS anteriores à 15.4, atualize para o iOS 15.4 ou posterior para resolver o problema. Para versões do iPadOS anteriores à 15.4, atualize para o iPadOS 15.4 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** UliCMS versions 2019.1 through 2019.2 **Description** The issue allows remote attackers to inject arbitrary web script or HTML. This can be achieved via the `go` parameter to `admin/index.php`, the `go` parameter to `/admin/index.php?register=register`, or the `error` parameter to `admin/index.php?action=favicon`. **Recommendations** For UliCMS version 2019.1, update to a version that contains a fix for this issue. For UliCMS version 2019.2, update to a version that contains a fix for this issue. As a temporary workaround, consider restricting access to the `admin/index.php` and `/admin/index.php?register=register` endpoints to minimize the risk of exploitation. Avoid using the `go` and `error` parameters in the affected API endpoints until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** HumHub version 1.3.12 **Description** A cross-site scripting (XSS) issue allows remote attackers to inject arbitrary web script or HTML via a "POST request to /protected/vendor/codeception/codeception/tests/data/app/view/index.php". **Recommendations** For HumHub version 1.3.12, as a temporary workaround, consider restricting access to the /protected/vendor/codeception/codeception/tests/data/app/view/index.php endpoint until a patch is available.