Leousumo

**Nome do software vulnerável e versões afetadas** Piwigo versão 14.5.0 **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada na página de configuração permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `Page banner`. Isso pode levar à execução de código malicioso no navegador da vítima. **Recomendações** Para a versão 14.5.0 do Piwigo, considere remover ou restringir o acesso à página de configuração até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `Banner da página` na página de configuração para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MyBB versão 1.8.38 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) armazenada no componente installindex.php, permitindo que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `Website Name`. Isso permite que invasores possam manipular o conteúdo do site ou roubar dados de usuários. **Recomendações** Para a versão 1.8.38 do MyBB, como solução temporária, considere restringir o acesso ao componente installindex.php até que uma correção esteja disponível. Evite usar o parâmetro `Nome do site` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do DomainMOD anteriores à 4.12.0 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores remotos injetem código JavaScript por meio do endpoint da API “admin/domain-fields/edit.php” e do parâmetro `cdfid`. Isso permite que os invasores executem scripts maliciosos no navegador da vítima. **Recomendações** Para versões anteriores à 4.12.0, atualize para a versão 4.12.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “admin/domain-fields/edit.php” e evitar o uso do parâmetro `cdfid` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do DomainMOD anteriores à 4.12.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS) refletida no arquivo queueindex.php do DomainMOD. Os parâmetros `list id` e `domain id` na solicitação GET podem ser explorados para causar esse problema. **Recomendações** Para versões anteriores à 4.12.0, atualize para a versão 4.12.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo queueindex.php ou validar e sanitizar os parâmetros `list id` e `domain id` na solicitação GET para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do DomainMOD anteriores à 4.12.0 **Descrição** Existe uma vulnerabilidade de Cross Site Scripting (XSS) refletido no arquivo segmentsedit.php. O parâmetro `segid` na solicitação GET pode ser explorado para causar essa vulnerabilidade. **Recomendações** Para versões anteriores à 4.12.0, atualize para a versão 4.12.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao arquivo segmentsedit.php ou evitar o uso do parâmetro `segid` na solicitação GET até que um patch seja aplicado.