Masquerad3R

**Nome do Software Vulnerável e Versões Afetadas** Versões do YesWiki anteriores à 4.5.4 **Descrição** A vulnerabilidade permite que um atacante utilize um ataque de cross-site scripting refletido para roubar cookies de um usuário autenticado, induzindo-o a clicar em um link malicioso. Os cookies roubados permitem que o atacante assuma o controle da sessão do usuário. Isso também pode permitir que atacantes desfigurem o website ou incorporem conteúdo malicioso. **Recomendações** Para versões anteriores à 4.5.4, atualize para a versão 4.5.4 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso a áreas sensíveis do sistema wiki para minimizar o risco de sequestro de sessão até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do YesWiki anteriores à 4.5.4 **Descrição** A vulnerabilidade permite que um atacante utilize um ataque de cross-site scripting (XSS) refletido para roubar cookies de um usuário autenticado, induzindo-o a clicar em um link malicioso. Os cookies roubados permitem que o atacante assuma o controle da sessão do usuário. Isso também pode permitir que atacantes desfigurem o site ou incorporem conteúdo malicioso. **Recomendações** Para versões anteriores à 4.5.4, atualize para a versão 4.5.4 para resolver o problema. Como solução temporária, considere restringir o acesso a áreas sensíveis do site para minimizar o risco de sequestro de sessão até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do YesWiki anteriores à 4.5.4 **Descrição** O problema afeta o endpoint `/BazaR` e o parâmetro `idformulaire`, tornando-os vulneráveis a cross-site scripting. Um atacante pode usar um ataque de cross-site scripting refletido para roubar cookies de um usuário autenticado, fazendo com que ele clique em um link malicioso. Cookies roubados permitem que o atacante assuma o controle da sessão do usuário. Isso também pode permitir que atacantes desfigurem o website ou incorporem conteúdo malicioso. **Recomendações** Para versões anteriores à 4.5.4, atualize para a versão 4.5.4 para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint `/BazaR` e evitar o uso do parâmetro `idformulaire` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do YesWiki anteriores à 4.5.2 **Descrição** O problema refere-se a uma vulnerabilidade de path traversal no parâmetro `squelette`, permitindo acesso não autorizado a arquivos do servidor. Isso possibilita acesso de leitura a arquivos arbitrários no servidor. **Recomendações** Para versões anteriores à 4.5.2, atualize para a versão 4.5.2 para corrigir esta falha de segurança. Como solução temporária, considere restringir o acesso ao parâmetro `squelette` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** microweber versões 2.0.15 e anteriores **Descrição** Existe uma vulnerabilidade de Cross-site scripting (XSS) refletido no endpoint da API “/search”, permitindo que invasores remotos não autenticados injetem scripts da web ou HTML arbitrários por meio do parâmetro `keywords`. **Recomendações** Para as versões 2.0.15 e anteriores do microweber, como solução temporária, considere restringir o acesso ao endpoint da API “/search” até que uma correção esteja disponível. Evite usar o parâmetro `keywords` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.