Luka Sikic

**Nome do software vulnerável e versões afetadas** Versões do Symfony anteriores à 4.4.5 e à 5.0.5 Versões do symfony/http-foundation anteriores à 4.4.5 e à 5.0.5 **Descrição** O problema decorre do fato de o `ErrorHandler` renderizar propriedades não escapadas da classe Exception ao exibir o stacktrace, o que também era visível em configurações que não eram de depuração. Isso foi resolvido garantindo que o `ErrorHandler` escape todas as propriedades da Exception e exiba o stacktrace apenas em configurações de depuração. **Recomendações** Para versões do Symfony anteriores à 4.4.5, atualize para a versão 4.4.5 ou posterior. Para versões do Symfony anteriores à 5.0.5, atualize para a versão 5.0.5 ou posterior. Como solução temporária, considere configurar o ambiente para o modo de depuração apenas quando necessário, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine Password Manager Pro, versões 10.4 e anteriores **Descrição** O problema diz respeito à falta de proteção contra ataques de falsificação de solicitação entre sites (CSRF). Isso pode ser demonstrado por um invasor alterando a função de um usuário. **Recomendações** Para as versões 10.4 e anteriores do Zoho ManageEngine Password Manager Pro, considere implementar medidas de segurança adicionais para proteção contra ataques CSRF, como a validação de tokens de solicitação, até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o acesso a funções confidenciais de gerenciamento de usuários para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Currency Switcher addon for WooCommerce versions prior to 2.11.2 **Description** An issue allows an attacker to purchase items at a significantly cheaper price by providing a non-existent currency that is worth less than the default currency. If a user provides a currency not added by the administrator, it will be selected, but the price amount will fall back to the default currency. **Recommendations** For versions prior to 2.11.2, update to version 2.11.2 or later to resolve the issue. As a temporary workaround, consider restricting the currency selection to only those added by the administrator to minimize the risk of exploitation.