M4Lwhere

**Nome do software vulnerável e versões afetadas** Tenable Nessus (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de XSS armazenado em que um invasor remoto autenticado, com privilégios de administrador na aplicação Nessus, poderia alterar as configurações do proxy do Nessus, levando à execução remota de scripts arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ChurchInfo versão 1.3.0 **Descrição** A vulnerabilidade permite que invasores executem código remotamente por meio de uploads não seguros na aplicação ChurchInfo. Isso requer acesso autenticado à aplicação. Uma vez autenticado, o usuário pode enviar anexos para e-mails sem qualquer restrição quanto aos tipos de arquivo, permitindo que código PHP malicioso seja enviado e interpretado pelo servidor. **Recomendações** Para a versão 1.3.0 do ChurchInfo, considere restringir o acesso à pasta `/tmp attach/` para impedir o acesso direto aos arquivos enviados e implemente a validação de tipos de arquivo para impedir o envio de código PHP malicioso. Como solução temporária, considere desativar o recurso de envio de arquivos para anexos de e-mail até que uma correção esteja disponível.