Kanta Nishitani

**Nome do software vulnerável e versões afetadas** Todas as versões do FitNesse **Descrição** Existe uma vulnerabilidade de cross-site scripting que pode permitir que um invasor remoto não autenticado execute um script arbitrário no navegador do usuário que estiver utilizando o produto e acessando um link com vários parâmetros especialmente criados para esse fim. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Todas as versões do FitNesse **Descrição** A falha permite que um invasor remoto autenticado execute comandos arbitrários do sistema operacional. Observe que um colaborador alega que esse comportamento se trata de uma especificação do produto, e não de uma vulnerabilidade, e isso está sendo investigado mais a fundo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** FitNesse (todas as versões) **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado obtenha informações confidenciais, altere dados ou cause uma condição de negação de serviço (DoS) devido à restrição inadequada de referências a entidades externas XML. **Recomendações** Para todas as versões, considere restringir ou desativar as referências a entidades externas XML para minimizar o risco de exploração até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v4.1.3 **Description** A stored cross-site scripting issue exists when processing profile images. If exploited, an arbitrary script may be executed on the web browser of the user who accessed the site using the product. **Recommendations** For versions prior to v4.1.3, update to version v4.1.3 or later to resolve the issue. As a temporary workaround, consider restricting the upload of profile images until a patch is applied.

**Nome do software vulnerável e versões afetadas** Cybozu Office, versões 10.0.0 a 10.8.5 **Descrição** A configuração do sistema do Cybozu Office contém uma falha de divulgação de informações, permitindo que um invasor remoto obtenha dados do produto por meio de vetores não especificados. **Recomendações** Para as versões 10.0.0 a 10.8.5 do Cybozu Office, atualize para uma versão posterior à 10.8.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do Unlimited Sitemap Generator anteriores à v8.2 Descrição: Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que um invasor remoto se aproprie da autenticação de um administrador e realize operações arbitrárias por meio de uma página da Web especialmente criada para esse fim. Recomendações: Para versões do Unlimited Sitemap Generator anteriores à v8.2, atualize para a versão v8.2 ou posterior para resolver o problema. Como solução temporária, considere implementar verificações de autenticação adicionais para minimizar o risco de exploração de CSRF. Restrinja o acesso às funções administrativas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Cybozu Remote Service, versões 3.0.0 a 3.1.9 Descrição: A vulnerabilidade permite que invasores remotos redirecionem usuários para sites arbitrários, o que pode levar a ataques de phishing. O vetor de ataque não foi especificado. Recomendações: Para as versões 3.0.0 a 3.1.9, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de impedir que invasores remotos redirecionem usuários para sites arbitrários.

**Nome do software vulnerável e versões afetadas: Cybozu Office, versões 10.0.0 a 10.8.4 Descrição: A falha permite que invasores remotos injetem um script arbitrário por meio de vetores não especificados, o que constitui uma vulnerabilidade de script entre sites (XSS) na Agenda de Contatos do Cybozu Office. Recomendações: Para as versões 10.0.0 a 10.8.4 do Cybozu Office, atualize para uma versão posterior à 10.8.4 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Cybozu Office, versões 10.0.0 a 10.8.4 Descrição: Uma vulnerabilidade de cross-site scripting na Agenda de Contatos do Cybozu Office permite que invasores remotos injetem um script arbitrário por meio de vetores não especificados. Essa vulnerabilidade ocorre especificamente quando o Mozilla Firefox é utilizado. Recomendações: Para as versões 10.0.0 a 10.8.4 do Cybozu Office, considere desativar o recurso Catálogo de Endereços até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao Catálogo de Endereços para minimizar o risco de injeção de scripts arbitrários. Evite usar o Catálogo de Endereços com o Mozilla Firefox até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Cybozu Garoon, versões 4.0.0 a 5.0.1 **Descrição** A vulnerabilidade permite que invasores remotos obtenham informações indesejadas por meio de vetores não especificados. **Recomendações** Para as versões 4.0.0 a 5.0.1, atualize para uma versão que contenha uma correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cybozu Garoon, versões 4.0.0 a 5.0.1 **Descrição** A vulnerabilidade permite que invasores remotos autenticados contornem as restrições de acesso, possibilitando-lhes visualizar e/ou alterar as configurações de logon único. Isso é feito por meio de vetores não especificados. **Recomendações** Para as versões 4.0.0 a 5.0.1, considere restringir o acesso às configurações de Single sign-on até que uma correção esteja disponível. Como solução temporária, limite a capacidade de alterar as configurações de Single sign-on para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Cybozu Garoon, versões 4.6.0 a 4.6.3 **Descrição** Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) permite que um invasor remoto com privilégios administrativos envie solicitações HTTP arbitrárias a outros servidores web por meio da função V-CUBE Meeting. Isso permite que o invasor possa acessar ou manipular dados confidenciais em outros servidores web. **Recomendações** Para as versões 4.6.0 a 4.6.3 do Cybozu Garoon, considere restringir o acesso à função V-CUBE Meeting até que uma correção esteja disponível para impedir a exploração da vulnerabilidade SSRF. Como solução temporária, limite os privilégios administrativos para minimizar o risco de que solicitações HTTP arbitrárias sejam enviadas a outros servidores web. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Cybozu Garoon versions 4.0.0 through 4.10.2 **Description** The issue allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via the application 'Scheduler'. **Recommendations** For Cybozu Garoon versions 4.0.0 through 4.10.2, consider disabling the 'Scheduler' application as a temporary workaround until a patch is available. Restrict access to the 'Scheduler' module to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Cybozu Garoon versions 4.0.0 through 4.10.2 **Description** The issue allows an attacker with administrative rights to cause a denial of service condition via unspecified vectors. **Recommendations** For versions 4.0.0 through 4.10.2, update to a version that contains a fix for this issue to prevent a denial of service condition.

**Name of the Vulnerable Software and Affected Versions** Cybozu Garoon versions 3.0.0 through 4.10.0 **Description** The issue allows remote attackers to bypass access restrictions and view information that is only available to signed-on users through the Single sign-on function. **Recommendations** For Cybozu Garoon versions 3.0.0 through 4.10.0, consider restricting access to the Single sign-on function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Cybozu Remote Service versions 3.0.0 through 3.1.8 **Description** An issue was found in the client certificates management screen, where an improper countermeasure against clickjacking attacks was discovered. This allows remote attackers to trick a user into deleting a registered client certificate. **Recommendations** For Cybozu Remote Service versions 3.0.0 through 3.1.8, update to a version that includes a proper countermeasure against clickjacking attacks to prevent remote attackers from tricking users into deleting registered client certificates.

**Name of the Vulnerable Software and Affected Versions** GROWI versions 3.1.11 and earlier **Description** A cross-site scripting issue allows remote attackers to inject arbitrary web script or HTML via the modal for creating a Wiki page. **Recommendations** For GROWI versions 3.1.11 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** GROWI versions 3.1.11 and earlier **Description** A cross-site scripting issue allows remote authenticated attackers to inject arbitrary web script or HTML via the app settings section of the admin page. **Recommendations** For GROWI versions 3.1.11 and earlier, update to a version later than 3.1.11 to resolve the issue.