Kyokito1412

Nome do software vulnerável e versões afetadas: Versões do Combodo iTop anteriores à 2.7.11 Versões do Combodo iTop anteriores à 3.1.2 Versões do Combodo iTop anteriores à 3.2.0 Descrição: O Combodo iTop é uma plataforma de gerenciamento de serviços de TI de código aberto e baseada na web. A plataforma apresenta uma vulnerabilidade de cross-site scripting que pode levar a uma falsificação de solicitação entre sites no parâmetro ` table id`. Recomendações: Para versões anteriores à 2.7.11, atualize para a versão 2.7.11 para proteger seu ambiente. Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 para proteger seu ambiente. Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 para proteger seu ambiente.

**Nome do software vulnerável e versões afetadas** Versões do Formwork anteriores à 1.13.1 **Descrição** O Formwork é um Sistema de Gerenciamento de Conteúdo (CMS) baseado em arquivos simples que permite que um invasor com privilégios de administrador execute scripts web arbitrários modificando as opções do site por meio de /panel/options/site. Esse tipo de ataque é adequado para persistência, afetando visitantes em todas as páginas (exceto o painel de controle). A falha é uma vulnerabilidade Stored XSS, que permite que invasores injetem JavaScript ou HTML malicioso por meio de uma carga maliciosa, alcançando persistência e potencialmente atacando inúmeros visitantes. **Recomendações** Para versões anteriores à 1.13.1, atualize para o Formwork 1.13.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /panel/options/site para minimizar o risco de exploração. Além disso, evite usar o campo de descrição nas opções do site para impedir a possível injeção de scripts maliciosos.

**Nome do software vulnerável e versões afetadas** Versões do Formwork anteriores à 1.13.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores executem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo Conteúdo. Usuários com acesso ao painel de administração e permissões de edição de páginas poderiam inserir tags `<script>` em campos de markdown, que ficam expostos nas páginas do site acessíveis ao público, levando a possíveis injeções de XSS. **Recomendações** Para versões anteriores à 1.13.0, atualize para o Formwork 1.13.0 ou posterior, que inclui um patch que resolve essa vulnerabilidade ao introduzir a opção de configuração do sistema `content.safe mode` para controlar se tags HTML e links potencialmente perigosos são escapados. Como solução alternativa temporária, considere restringir o acesso ao painel de administração a um grupo controlado de editores para minimizar o risco de exploração.