Luis Noriega

**Nome do software vulnerável e versões afetadas** Sentrifugo versão 3.2 **Descrição** A vulnerabilidade permite um ataque de Stored Cross-Site Scripting (XSS) por meio da inserção de uma carga maliciosa no cabeçalho HTTP `X-Forwarded-For` durante o processo de login. Quando um administrador visualiza os registros, a carga maliciosa é executada. Isso afeta produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o Sentrifugo versão 3.2, como o produto não é mais suportado pelo mantenedor, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** SuiteCRM versão 7.11.13 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na funcionalidade de visualização de documentos. Isso poderia permitir que invasores remotos autenticados injetassem scripts da Web ou HTML arbitrários. **Recomendações** Para a versão 7.11.13 do SuiteCRM, considere desativar a funcionalidade de visualização de documentos até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao módulo de documentos para minimizar o risco de injeção de scripts web ou HTML arbitrários.

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.14 **Descrição** O problema está relacionado a um redirecionamento aberto (Open Redirect) no módulo Documentos do SuiteCRM, que pode ser explorado por meio de um documento SVG malicioso. **Recomendações** Para versões anteriores à 7.11.14, atualize para a versão 7.11.14 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.14 **Descrição** A falha permite a injeção de CSV por meio dos campos de registro nos módulos Contas, Contatos, Oportunidades e Leads. Isso ocorre devido a um tratamento incorreto desses campos durante a operação de “Baixar modelo de arquivo de importação”. **Recomendações** Para versões anteriores à 7.11.14, atualize para a versão 7.11.14 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.17 **Descrição** A vulnerabilidade permite a execução remota de código por meio da configuração “Nome do arquivo de log” nas configurações do sistema. Em determinadas circunstâncias envolvendo a apropriação de uma conta de administrador, a variável `logger file name` pode apontar para um arquivo .php controlado pelo invasor na raiz do servidor web. **Recomendações** Para versões anteriores à 7.11.17, atualize para a versão 7.11.17 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à configuração “Log File Name” nas configurações do sistema para impedir a invasão da conta de administrador e minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Dolibarr versão 11.0.4 **Descrição** O problema diz respeito a várias vulnerabilidades de Cross-Site Scripting (XSS) armazenadas. Elas poderiam permitir que invasores remotos autenticados injetassem scripts da web ou HTML arbitrários. Isso pode ser feito por meio de vários pontos de extremidade da API, incluindo “ticket/card.php?action=create” com os parâmetros `subject`, `message` ou `address`, “adherents/card.php” com o parâmetro `societe` ou `address`, “product/card.php” com o parâmetro `label` ou `customcode`, ou “societe/card.php” com o parâmetro `alias` ou `barcode`. **Recomendações** Para a versão 11.0.4 do Dolibarr, atualize para uma versão que inclua uma correção para essas vulnerabilidades XSS armazenadas. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API afetados, como “ticket/card.php?action=create”, “adherents/card.php”, “product/card.php” e “societe/card.php”, para minimizar o risco de exploração. Além disso, limite o uso de parâmetros vulneráveis como `subject`, `message`, `address`, `societe`, `label`, `customcode`, `alias` e `barcode` nesses pontos de extremidade até que um patch esteja disponível.