Maeitsec

**Nome do Software Vulnerável e Versões Afetadas** Versões do GLPI até a 10.0.17 **Descrição** Uma vulnerabilidade foi encontrada em uma funcionalidade desconhecida do arquivo /index.php, onde a manipulação do argumento `redirect` leva a um redirecionamento aberto. O ataque pode ser executado remotamente. **Recomendações** Para versões até a 10.0.17, atualize para a versão 10.0.18 para corrigir este problema.

**Nome do Software Vulnerável e Versões Afetadas** Pimcore versão 11.4.2 **Descrição** Um problema foi identificado no componente Search Document, resultando em cross-site scripting básico. A manipulação pode ser executada remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Pimcore versão 11.4.2: Atualize para uma versão que corrija o problema no componente Search Document para prevenir cross-site scripting básico.

**Nome do Software Vulnerável e Versões Afetadas** Versões 4.2.0 e anteriores do Pimcore customer-data-framework **Descrição** Foi encontrado um problema crítico no Pimcore customer-data-framework, afetando alguma funcionalidade desconhecida do arquivo "/admin/customermanagementframework/customers/list". A manipulação do argumento `filterDefinition/filter` leva à injeção de SQL. O ataque pode ser lançado remotamente. A vulnerabilidade é encontrada nos parâmetros da URL do seguinte endpoint: `GET /admin/customermanagementframework/customers/list?add-new-customer=1&apply-segment-selection=Apply&filterDefinition[allowedRoleIds][]=1&filterDefinition[allowedUserIds][]=2&filterDefinition[id]=0&filterDefinition[name]=RDFYjolf&filterDefinition[readOnly]=on&filterDefinition[shortcutAvailable]=on&filter[active]=1&filter[email]=testing%40example.com&filter[firstname]=RDFYjolf&filter[id]=1&filter[lastname]=RDFYjolf&filter[operator-customer]=AND&filter[operator-segments]=%40%40dz1Uu&filter[search]=the&filter[segments][832][]=847&filter[segments][833][]=835&filter[segments][874][]=876&filter[showSegments][]=832 HTTP/1.1` Os parâmetros `filterDefinition` e `filter` são vulneráveis à injeção de SQL. Quando uma entrada especialmente elaborada é fornecida, isso resulta em um erro SQL, indicando que a entrada está sendo usada diretamente em uma consulta SQL sem a devida sanitização. **Recomendações** Pimcore customer-data-framework versões 4.2.0 e anteriores: Atualize para a versão 4.2.1 para corrigir o problema.