Maciej Domański

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a execução de scripts entre sites (Cross-Site Scripting, XSS) devido à possibilidade de injetar e armazenar código JavaScript malicioso. Isso pode ocorrer por meio de um URI “/device/device=140/tab=wifi/view=”, que é um ponto de extremidade da API. As variáveis `device`, `tab` e `view` estão envolvidas nesse processo. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, considere restringir o acesso ao endpoint da API “/device/device=140/tab=wifi/view=” até que uma correção esteja disponível. Como solução alternativa temporária, evite usar as variáveis `device`, `tab` e `view` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite que invasores forjem solicitações maliciosas devido à ausência de um token CSRF imprevisível em links e formulários. Isso pode ser explorado para realizar ações como adicionar configurações de dispositivo por meio do endpoint da API “/addsrv”. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, considere implementar um token CSRF imprevisível em todos os links e formulários para impedir solicitações maliciosas. Como solução temporária, restrinja o acesso ao URI “/addsrv” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** Foi descoberta uma falha que permite a injeção de SQL devido à possibilidade de injetar instruções SQL maliciosas em tipos de parâmetros malformados. Isso pode ocorrer por meio do endpoint “ajax/device entities.php”, especificamente quando o parâmetro `device id` é manipulado, conforme visto no exemplo “/ajax/device entities.php?entity type=netscalervsvr&device id[]=”. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, como solução temporária, considere restringir o acesso ao endpoint “/ajax/device entities.php” para minimizar o risco de exploração. Evite usar o parâmetro `device id` no endpoint afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** Uma falha no software permite a traversal de diretórios e a inclusão de arquivos locais devido ao carregamento irrestrito de arquivos com a extensão inc.php. Isso pode levar à execução remota de código por meio de “pontos de extremidade da API”, como /apps/?app=../. **Recomendações** Para a versão 20.8.10631, considere restringir o acesso ao endpoint /apps/ para minimizar o risco de exploração. Como solução temporária, restrinja a possibilidade de carregar qualquer arquivo com extensão inc.php até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a traversal de diretórios e a inclusão de arquivos locais devido ao carregamento irrestrito de arquivos com a extensão inc.php. Isso pode levar à execução remota de código. A vulnerabilidade pode ser explorada por meio de URIs como “/device/device=345/?tab=ports&view=../” devido ao arquivo device/port.inc.php. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, restrinja o acesso ao arquivo device/port.inc.php para minimizar o risco de exploração. Evite usar o parâmetro `view` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a execução de scripts entre sites (XSS) devido à possibilidade de injetar e armazenar código JavaScript malicioso. Isso pode ocorrer por meio da variável `la id` no endpoint da API “/syslog rules” para a funcionalidade edit syslog rule. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, considere restringir o acesso ao endpoint da API `/syslog rules` para minimizar o risco de exploração e evite usar a variável `la id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a injeção de SQL devido à possibilidade de injetar instruções SQL maliciosas em tipos de parâmetros malformados. Isso pode ocorrer por meio do parâmetro `username[0]` na URI padrão, devido ao arquivo includes/authenticate.inc.php. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, evite usar o parâmetro `username[0]` na URI padrão afetada até que o problema seja resolvido. Considere restringir temporariamente o acesso ao arquivo includes/authenticate.inc.php como uma medida rápida de mitigação.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a execução de scripts entre sites (Cross-Site Scripting, XSS) devido à possibilidade de injetar e armazenar código JavaScript malicioso. Isso pode ocorrer por meio do endpoint “/iftype/type=” devido ao arquivo pages/iftype.inc.php. **Recomendações** Para a versão 20.8.10631, considere restringir o acesso ao endpoint “/iftype/type=” até que uma correção esteja disponível. Como solução temporária, evite usar o arquivo iftype.inc.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Observium Professional, Enterprise e Community, versão 20.8.10631 **Descrição** A vulnerabilidade permite a traversal de diretórios e a inclusão de arquivos locais devido ao carregamento irrestrito de arquivos com a extensão inc.php. Isso pode levar à execução remota de código. A vulnerabilidade pode ser explorada por meio do endpoint da API “/device/device=345/?tab=health&metric=../” devido ao arquivo device/health.inc.php. **Recomendações** Para o Observium Professional, Enterprise e Community versão 20.8.10631, restrinja o acesso ao arquivo device/health.inc.php para minimizar o risco de exploração. Evite usar o parâmetro metric no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.