Kane Gamble

**Nome do software vulnerável e versões afetadas** Pega Platform, versões 8.5.4 a 8.7.3 **Descrição** O problema está relacionado a uma vulnerabilidade XSS que pode ser explorada por um usuário não autenticado, utilizando o parâmetro de redirecionamento. **Recomendações** Para as versões 8.5.4 a 8.7.3 da Pega Platform, considere restringir o acesso ao parâmetro de redirecionamento para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 7.3 a 8.7.3 da Pega Platform **Descrição** O problema está relacionado a uma configuração incorreta de uma definição da página de dados, levando a um problema de XSS. **Recomendações** Para as versões 7.3 a 8.7.3, atualize a configuração da página de dados para evitar o problema de XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pega Platform, versões 8.3 a 8.7.3 **Descrição** A vulnerabilidade pode permitir que administradores de segurança autenticados alterem diretamente as configurações de CSRF. **Recomendações** Para as versões 8.3 a 8.7.3 da Pega Platform, considere restringir o acesso às configurações de CSRF para administradores de segurança autenticados até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin GiveWP para o WordPress, versões até a 2.20.2, inclusive **Descrição** A falha permite que usuários não autenticados acessem informações de doadores por meio do endpoint da API REST “/donor-wall”, mesmo quando o painel de doadores não está ativado. Essa funcionalidade foi removida na versão 2.20.2. **Recomendações** Para versões até a 2.20.2, inclusive, atualize para uma versão em que essa funcionalidade tenha sido removida, como a versão 2.20.2 ou posterior, para impedir o acesso não autenticado às informações dos doadores por meio do endpoint da API REST “/donor-wall”. Como solução alternativa temporária, considere desativar o endpoint da API REST “/donor-wall” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do wire-webapp anteriores à 2021-06-01-production.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting na versão web do Wire, um aplicativo de mensagens de código aberto. Se um usuário abrir uma imagem em uma nova aba, o código da imagem será executado no domínio que hospeda o aplicativo. Isso permite que código malicioso contido na imagem seja executado, potencialmente dando a um invasor controle total sobre a conta do usuário. **Recomendações** Para versões anteriores à 2021-06-01-production.0, atualize para a versão 2021-06-01-production.0 para resolver o problema. Como solução temporária, os usuários não devem tentar abrir URLs de imagens.