Luqiihadia

**Nome do software vulnerável e versões afetadas** Plugin `discourse-microsoft-auth` (versões afetadas não especificadas) **Descrição** O plugin `discourse-microsoft-auth` permite a autenticação via Microsoft. Em sites com esse plugin ativado, um ataque pode potencialmente assumir o controle da conta Discourse da vítima. Sites que configuraram o tipo de conta do aplicativo para qualquer opção diferente de `Apenas contas neste diretório organizacional (somente O365 - locatário único)` estão vulneráveis. Um patch foi adicionado no commit c40665f44509724b64938c85def9fb2e79f62ec8 do `discourse-microsoft-auth`. **Recomendações** Para resolver o problema, desative o plugin `discourse-microsoft-auth` definindo a configuração do site `microsoft auth enabled` como `false`. Execute a tarefa rake `microsoft auth:log out users` para desconectar todos os usuários com contas Microsoft associadas. Execute a tarefa rake `microsoft auth:revoke` para desativar e desconectar todos os usuários que conectaram suas contas à Microsoft, revogar as chaves de API dos usuários e as chaves de API criadas por esses usuários, e remover os registros de conexão com a Microsoft desses usuários.

**Name of the Vulnerable Software and Affected Versions** Galaxy versions prior to 22.05 **Description** Galaxy is an open-source platform for FAIR data analysis. It is vulnerable to server-side request forgery, which allows a malicious entity to issue arbitrary HTTP/HTTPS requests from the application server to internal hosts and read their responses. **Recommendations** For Galaxy versions prior to 22.05, update to version 22.05 to resolve the issue. As a temporary workaround, consider restricting access to internal hosts to minimize the risk of exploitation.