Mateusz Gierblinski

**Nome do Software Vulnerável e Versões Afetadas** Automotive Car Dealership Business WordPress Theme versões anteriores a 13.4.2 **Descrição** O software está sujeito a Stored Cross-Site Scripting, uma condição onde scripts maliciosos são armazenados permanentemente no servidor alvo. O problema existe no campo personalizado 'Project Details' em Itens de Portfólio devido à sanitização de entrada e escape de saída insuficientes de atributos fornecidos pelo usuário na variável `project details`. Atacantes autenticados com permissões de nível de contribuidor ou superior podem injetar scripts web arbitrários que são executados quando um usuário acessa a página afetada. **Recomendações** Atualize para uma versão posterior a 13.4.1. Como medida paliativa temporária, restrinja o acesso ao campo personalizado `project details` para usuários com permissões de nível de contribuidor.

**Name of the Vulnerable Software and Affected Versions** Automotive Car Dealership Business WordPress Theme for WordPress versions prior to 13.5 **Description** The software is susceptible to Stored Cross-Site Scripting through the 'Call to Action' custom fields. Insufficient input sanitization and output escaping on user-supplied attributes in the 'action text', 'action button text', 'action link', and 'action class' custom fields allow authenticated attackers with contributor-level permissions or higher to inject arbitrary web scripts into pages. These scripts will execute when a user accesses the injected page. **Recommendations** Update Automotive Car Dealership Business WordPress Theme for WordPress to version 13.5 or later.

Nome do Software Vulnerável e Versões Afetadas: Versões do Wibu CodeMeter anteriores à 8.30a Descrição: A falha permite elevação de privilégios imediatamente após a instalação, antes de um logoff ou reinicialização, sob condições específicas. Essas condições incluem uma instalação sem privilégios com UAC e a presença do componente CodeMeter Control Center sem que ele tenha sido reiniciado. Neste cenário, um usuário local pode explorar a falha navegando de "Importar Licença" para uma instância privilegiada do Windows Explorer, obtendo assim privilégios elevados. Recomendações: Para versões anteriores à 8.30a, atualize para a versão 8.30a ou posterior para corrigir a falha. Como medida temporária de contorno, considere reiniciar o componente CodeMeter Control Center após a instalação para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do EspoCRM anteriores à 9.0.5 **Descrição** O problema refere-se ao dashlet Iframe no EspoCRM, que permite aos usuários exibir iframes com URLs arbitrárias. Como o atributo sandbox não está incluído no iframe, uma página remota pode abrir popups fora do iframe, potencialmente enganando os usuários e criando um risco de phishing. A URL do iframe é definida pelo usuário, portanto, um atacante precisaria induzir o usuário a especificar uma URL maliciosa. A ausência do atributo sandbox também permite que a página remota envie mensagens para o frame pai, embora o EspoCRM não utilize essas mensagens. **Recomendações** Para resolver o problema, atualize para a versão 9.0.5 ou posterior. Como solução alternativa temporária, considere restringir o uso do dashlet Iframe para minimizar o risco de exploração. Evite usar o dashlet Iframe com URLs não confiáveis até que o problema seja resolvido.