Mariotesoro

**Nome do Software Vulnerável e Versões Afetadas** SpagoBI versão 3.5.1 **Descrição** Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no painel de administração de usuários. Um usuário autenticado pode induzir outro usuário a executar ações não desejadas dentro da aplicação na qual ele está logado, como adicionar, editar ou excluir usuários. **Recomendações** Para o SpagoBI versão 3.5.1, considere desabilitar o acesso ao painel de administração de usuários até que um patch esteja disponível para prevenir a possível exploração da vulnerabilidade CSRF. Restrinja o acesso a funções sensíveis, como adicionar, editar ou excluir usuários, para minimizar o risco de execução de ações não desejadas.

**Nome do Software Vulnerável e Versões Afetadas** SpagoBI versão 3.5.1 **Descrição** O problema refere-se a múltiplas vulnerabilidades de Cross-Site Scripting (XSS) Armazenado encontradas nos formulários de criação/edição da funcionalidade de designer de planilha. Isso possibilita a execução potencial de scripts maliciosos, comprometendo a segurança da aplicação. **Recomendações** Para o SpagoBI versão 3.5.1, considere desativar os formulários de criação/edição da funcionalidade de designer de planilha até que uma correção esteja disponível para mitigar o risco de ataques de Cross-Site Scripting (XSS) Armazenado. Restrinja o acesso a esses formulários para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SpagoBI version 3.5.1 **Description** The issue is related to the script input feature of SpagoBI, which allows arbitrary code execution. This is due to the lack of measures to neutralize special elements used in the command input field. Exploitation of this issue can allow a remote attacker to execute arbitrary code by injecting a specially crafted Groovy script. **Recommendations** For SpagoBI version 3.5.1, consider disabling the script input feature until a patch is available to prevent arbitrary code execution. Restrict access to the Groovy script execution functionality to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do software vulnerável e versões afetadas: Versões do Kanboard anteriores à 1.2.41 Descrição: O Kanboard é um software de gerenciamento de projetos focado na metodologia Kanban. É possível injetar e armazenar HTML na seção de configurações do aplicativo. Os campos `application language`, `application date format`, `application timezone` e `application time format` permitem entradas arbitrárias do usuário, que são refletidas. Esse problema pode se tornar uma vulnerabilidade de cross-site scripting (XSS) se a entrada do usuário for código JavaScript que contorne a Política de Segurança de Conteúdo (CSP). Recomendações: Para versões anteriores à 1.2.41, atualize para a versão 1.2.41 para resolver o problema. Como solução temporária, considere restringir a entrada do usuário nos campos `application language`, `application date format`, `application timezone` e `application time format` para impedir a injeção arbitrária de HTML.

**Nome do software vulnerável e versões afetadas** Proactive Risk Manager versão 9.1.1.0 **Descrição** O problema diz respeito a várias vulnerabilidades de Cross-Site Scripting (XSS). Essas vulnerabilidades foram encontradas nos campos do formulário de adição/edição, especificamente em URLs que começam com os subcaminhos: “/ar/config/configuation/” e “/ar/config/risk-strategy-control/”. **Recomendações** Para o Proactive Risk Manager versão 9.1.1.0, considere restringir o acesso aos campos de formulário afetados e às URLs que começam com “/ar/config/configuation/” e “/ar/config/risk-strategy-control/” até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a funcionalidade de adição/edição nessas áreas para minimizar o risco de exploração.