Lucas Machado

Nome do Software Vulnerável e Versões Afetadas: Esri Portal for ArcGIS Enterprise Sites versões 10.9.1 até 11.4 Descrição: Existe uma vulnerabilidade de Cross-site Scripting armazenado no Esri Portal for ArcGIS Enterprise Sites que pode permitir que um atacante remoto autenticado injete um arquivo malicioso contendo um script XSS. Quando carregado, este script poderia potencialmente executar código JavaScript arbitrário no navegador da vítima. Os privilégios necessários para executar este ataque são altos, e isso poderia levar à divulgação de um token privilegiado, potencialmente concedendo ao atacante controle total do Portal. Recomendações: Atualize o Esri Portal for ArcGIS Enterprise Sites para uma versão anterior à 10.9.1 ou posterior à 11.4.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.2.0 até 7.4.3.129 Versões do Liferay DXP 2024.Q4.1 até 2024.Q4.7 Versões do Liferay DXP 2024.Q3.1 até 2024.Q3.9 Versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13 Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.12 Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.10 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.10 Versões do Liferay Portal 7.4 GA até a atualização 92 Versões do Liferay Portal 7.3 GA até a atualização 36 Versões do Liferay Portal 7.2 GA até o Fix Pack 20 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado em campos personalizados do tipo botão de rádio, permitindo que atacantes remotos autenticados injetem JavaScript malicioso em uma página. **Recomendações** Para as versões do Liferay Portal 7.2.0 até 7.4.3.129, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2024.Q4.1 até 2024.Q4.7, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2024.Q3.1 até 2024.Q3.9, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2024.Q1.1 até 2024.Q1.12, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2023.Q4.0 até 2023.Q4.10, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay DXP 2023.Q3.1 até 2023.Q3.10, atualize para uma versão que inclua a correção para este problema. Para as versões do Liferay Portal 7.4 GA até a atualização 92, aplique a atualização 93 ou posterior. Para as versões do Liferay Portal 7.3 GA até a atualização 36, aplique a atualização 37 ou posterior. Para as versões do Liferay Portal 7.2 GA até o Fix Pack 20, aplique o Fix Pack 21 ou posterior.

**Name of the Vulnerable Software and Affected Versions** IBM Sterling Partner Engagement Manager versions 6.1.2, 6.2.0, and 6.2.2 **Description** The issue allows users to embed arbitrary JavaScript code in the Web UI, altering the intended functionality and potentially leading to credentials disclosure within a trusted session. This is due to a stored cross-site scripting vulnerability. **Recommendations** For versions 6.1.2, 6.2.0, and 6.2.2, consider disabling the Web UI functionality until a patch is available to prevent the embedding of arbitrary JavaScript code. Restrict access to the Web UI to minimize the risk of exploitation. Avoid using the Web UI for sensitive operations until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.