Kang Bong Goo

**Nome do software vulnerável e versões afetadas** MONITORAPP WAF (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) refletido, na qual um script pode ser executado ao responder a informações da URL da solicitação. Isso ocorre porque o sistema oferece uma função para responder a informações da URL da solicitação durante o bloqueio, permitindo a possível execução de scripts. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do DEXT5 Editor até a 3.5.1402961 **Descrição** A vulnerabilidade permite que um invasor baixe arquivos arbitrários. Isso é feito através da exploração do campo `savefilepath` no arquivo `handler/upload handler.jsp`. **Recomendações** Para versões até 3.5.1402961, restrinja o acesso ao arquivo `handler/upload handler.jsp` para minimizar o risco de exploração. Evite usar o campo `savefilepath` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do DEXT5 até a 2.7.1402870 **Descrição** Existe uma falha de execução remota de código devido a uma vulnerabilidade no DEXT5Upload. Isso permite que um invasor envie um arquivo PHP por meio do manipulador “dext5handler.jsp”, já que o arquivo enviado é armazenado em “dext5uploadeddata/”. **Recomendações** Para versões até 2.7.1402870, considere restringir o acesso ao manipulador “dext5handler.jsp” para impedir uploads não autorizados de arquivos até que um patch esteja disponível. Como solução temporária, restrinja a execução de arquivos PHP no diretório “dext5uploadeddata/”. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.