Lennert Preuth

**Nome do software vulnerável e versões afetadas** Visual Planning Admin Center 8, versões anteriores à v.1 Build 240207 **Descrição** O problema está relacionado a verificações de acesso insuficientes, permitindo que invasores com contas não administrativas utilizem funções normalmente reservadas a administradores. Isso pode levar à obtenção de diferentes tipos de credenciais configuradas e, potencialmente, elevar seus privilégios ao nível de administrador. **Recomendações** Para versões anteriores à v.1 Build 240207, atualize para a versão v.1 Build 240207 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às funções administrativas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Stilog Visual Planning versão 8 **Descrição** Foi detectada uma falha que permite contornar a autenticação, permitindo que um invasor não autenticado obtenha um token da API administrativa. **Recomendações** Para o Stilog Visual Planning versão 8, considere restringir o acesso aos pontos de extremidade da API administrativa até que uma correção esteja disponível. Como solução alternativa temporária, limite o uso de tokens da API administrativa para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Stilog Visual Planning versão 8 **Descrição** Foi detectada uma falha que permite contornar a autenticação, permitindo que um invasor não autenticado utilize um ataque de força bruta para descobrir os PINs de redefinição de senha dos usuários administrativos. **Recomendações** Para o Stilog Visual Planning versão 8, considere restringir temporariamente o acesso à funcionalidade de redefinição de senha até que um patch esteja disponível. Como medida de mitigação, limite o número de tentativas de redefinição do PIN para evitar ataques de força bruta. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Stilog Visual Planning versão 8 **Descrição** Foi identificada uma vulnerabilidade de entidade externa XML (XXE) no software. Ela permite que um invasor autenticado acesse arquivos do servidor local e exfiltre dados para um servidor externo. **Recomendações** Para o Stilog Visual Planning versão 8, considere desativar as entidades externas XML ou restringir o acesso a arquivos confidenciais como uma solução temporária até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Papaya Viewer version 1.0.1449 **Description** An issue was discovered where user-supplied input in the form of DICOM or NIFTI images can be loaded into the Papaya web application without sanitization. This allows the injection of arbitrary JavaScript code into image metadata, which is executed when the metadata is displayed in the Papaya web application. **Recommendations** For Papaya Viewer version 1.0.1449, as a temporary workaround, consider disabling the loading of user-supplied DICOM or NIFTI images into the Papaya web application until a patch is available. Restrict access to the image metadata display feature to minimize the risk of exploitation. Avoid using the Papaya web application to load untrusted images until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.