Kajetan Rostojek

**Nome do software vulnerável e versões afetadas** Software PAN-OS da Palo Alto Networks (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de script entre sites (XSS) no software PAN-OS da Palo Alto Networks permite que um administrador do Panorama com privilégios de leitura e gravação, e devidamente autenticado, envie uma configuração especialmente criada para um nó PAN-OS, possibilitando a falsificação de identidade de um administrador legítimo do PAN-OS. Isso pode levar à execução de ações restritas no nó PAN-OS após a execução de JavaScript no navegador do administrador legítimo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Microsoft SharePoint Server (versões afetadas não especificadas) Descrição: O problema está relacionado a uma vulnerabilidade de falsificação de identidade no Microsoft SharePoint Server, na qual a estrutura de uma página da Web não está devidamente protegida. Isso poderia permitir que um invasor remoto realizasse ataques de falsificação de identidade. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WebReports (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um usuário administrativo do WebReports execute um ataque de Cross Site Scripting (XSS) e/ou Man in the Middle (MITM) por meio da configuração SAML. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Console (versões afetadas não especificadas) **Descrição** O console pode sofrer uma interrupção no serviço ao processar nomes de arquivos com caracteres inválidos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ClearPass Policy Manager (versões afetadas não especificadas) **Descrição** Vulnerabilidades na interface de gerenciamento baseada na web do ClearPass Policy Manager permitem que usuários remotos autenticados executem comandos arbitrários no host subjacente. Uma exploração bem-sucedida poderia permitir que um invasor executasse comandos arbitrários como root no sistema operacional subjacente, levando ao comprometimento total do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ClearPass Policy Manager (versões afetadas não especificadas) **Descrição** Vulnerabilidades na interface de gerenciamento baseada na web do ClearPass Policy Manager permitem que usuários remotos autenticados executem comandos arbitrários no host subjacente. Uma exploração bem-sucedida poderia permitir que um invasor executasse comandos arbitrários como root no sistema operacional subjacente, levando ao comprometimento total do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ClearPass Policy Manager (versões afetadas não especificadas) **Descrição** Vulnerabilidades na interface de gerenciamento baseada na web do ClearPass Policy Manager permitem que usuários remotos autenticados executem comandos arbitrários no host subjacente. Uma exploração bem-sucedida poderia permitir que um invasor executasse comandos arbitrários como root no sistema operacional subjacente, levando ao comprometimento total do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ClearPass Policy Manager (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de convidado do ClearPass Policy Manager poderia permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) armazenado contra um usuário administrativo da interface. Uma exploração bem-sucedida permite que um invasor execute código de script arbitrário no navegador da vítima no contexto da interface afetada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aria Operations for Networks (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (cross-site scripting). Um agente mal-intencionado com privilégios de administrador pode conseguir injetar código malicioso nas configurações do perfil do usuário devido a uma sanitização inadequada das entradas. Isso poderia permitir que um invasor remoto executasse código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aria Operations for Networks (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting. Um agente mal-intencionado com privilégios de administrador pode injetar uma carga maliciosa no banner de login, o que pode levar ao comprometimento da conta do usuário. Essa vulnerabilidade está associada à falta de proteção da estrutura da página da web, permitindo que um invasor remoto execute ataques de cross-site scripting. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente Web Reports da HCL BigFix Platform pode permitir que um invasor execute código JavaScript malicioso em um campo de formulário de uma página da Web por meio de um usuário com acesso privilegiado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente Web Reports pode permitir que um atacante explore um parâmetro da aplicação durante a execução da função “Salvar Relatório”. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente Web Reports pode permitir que um invasor execute código JavaScript malicioso em uma página da Web, com potencial para acessar informações armazenadas em cookies. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) no componente Web Reports pode permitir que um invasor execute código JavaScript malicioso em uma página da Web, com o objetivo de obter informações armazenadas em cookies. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no componente Web Reports da Plataforma HCL BigFix devido à falta de um atributo específico do cabeçalho HTTP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HCL BigFix Platform (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido no componente Web Reports pode permitir que um invasor execute código JavaScript malicioso na sessão do aplicativo ou no banco de dados, por meio de injeção remota, durante a renderização de conteúdo em uma página da Web. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** PAN-OS (affected versions not specified) **Description** A cross-site scripting (XSS) issue in the PAN-OS software allows a malicious authenticated read-write administrator to store a JavaScript payload using the web interface. When viewed by a properly authenticated administrator, the JavaScript payload executes and disguises all associated actions as performed by that unsuspecting authenticated administrator. The vulnerability is related to the lack of protection of the web page structure, which can be exploited by a remote attacker to perform cross-site scripting attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** PAN-OS (affected versions not specified) **Description** A DOM-Based cross-site scripting (XSS) vulnerability in the PAN-OS software enables a remote attacker to execute a JavaScript payload in the context of an administrator’s browser when they view a specifically crafted link to the PAN-OS web interface. The vulnerability exists due to inadequate protection of the web page structure, allowing an attacker to perform cross-site scripting attacks using a specially crafted link. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** PAN-OS (affected versions not specified) **Description** A credential disclosure issue in the web interface of PAN-OS software allows an authenticated read-only administrator to obtain plaintext credentials of stored external system integrations, including LDAP, SCP, RADIUS, TACACS+, and SNMP. This issue is related to insufficient protection of registration data. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Palo Alto Networks PAN-OS (affected versions not specified) **Description** A vulnerability exists in Palo Alto Networks PAN-OS software that enables an authenticated administrator with the privilege to commit a specifically created configuration to read local files and resources from the system. The issue is related to errors in processing hyperlinks, which can be exploited by a remote attacker to gain access to confidential data. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.