Lim Jing Qiang

**Nome do software vulnerável e versões afetadas** Versões do VeridiumID anteriores à 3.5.0 **Descrição** A vulnerabilidade permite que um invasor não autenticado obtenha informações sobre usuários registrados por meio de um ataque de injeção LDAP na página do provedor de identidade. **Recomendações** Para versões anteriores à 3.5.0, atualize para a versão 3.5.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do VeridiumID anteriores à 3.5.0 **Descrição** A vulnerabilidade permite que um invasor interno não autenticado, capaz de passar pelas verificações de cadastro e autorizado a registrar uma chave FIDO, registre seu autenticador FIDO na conta da vítima, assumindo assim o controle da conta. Isso está relacionado à API WebAuthn. **Recomendações** Para versões anteriores à 3.5.0, atualize para a versão 3.5.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API WebAuthn ou limitar a capacidade de registrar novas chaves FIDO para evitar possíveis assunções de conta.

**Nome do software vulnerável e versões afetadas** Versões do VeridiumID anteriores à 3.5.0 **Descrição** O problema diz respeito a uma vulnerabilidade de script entre sites (XSS) na página do provedor de identidade. Essa vulnerabilidade pode ser explorada por um invasor interno não autenticado para executar JavaScript no contexto do usuário que está tentando se autenticar. **Recomendações** Para versões anteriores à 3.5.0, atualize para a versão 3.5.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à página do provedor de identidade para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do VeridiumID anteriores à 3.5.0 **Descrição** Foi detectada uma vulnerabilidade de cross-site scripting armazenado no portal de administração do software afetado. Isso permite que um invasor autenticado possa assumir o controle de todas as contas enviando entradas maliciosas por meio do portal de autoatendimento. **Recomendações** Para versões anteriores à 3.5.0, atualize para a versão 3.5.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao portal de administração e ao portal de autoatendimento para minimizar o risco de exploração.