Mateusz Goik

**Nome do software vulnerável e versões afetadas** Software Cisco SD-WAN vManage (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade na interface de gerenciamento baseada na web do software Cisco SD-WAN vManage poderia permitir que um invasor remoto autenticado realizasse um ataque de script entre sites (XSS) contra um usuário. A vulnerabilidade existe porque a interface de gerenciamento baseada na web não valida adequadamente as entradas fornecidas pelo usuário. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário a clicar em um link malicioso. Uma exploração bem-sucedida poderia permitir que o invasor executasse código de script arbitrário no contexto da interface ou acessasse informações confidenciais baseadas no navegador. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software Cisco SD-WAN (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no software Cisco SD-WAN pode permitir que um invasor local autenticado eleve seus privilégios para root no sistema operacional subjacente. O problema se deve à validação insuficiente de entradas. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação maliciosa a um utilitário em execução em um sistema afetado, potencialmente obtendo privilégios de root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software Cisco SD-WAN (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no software Cisco SD-WAN pode permitir que um invasor local autenticado eleve seus privilégios para root no sistema operacional subjacente. O problema se deve a controles de segurança insuficientes na Interface de Linha de Comando (CLI). Um invasor poderia explorar essa vulnerabilidade usando um utilitário CLI afetado em um sistema afetado, potencialmente obtendo privilégios de root. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Cross-site Scripting (XSS) in Piwik before 1.10.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. NOTE: This is a different vulnerability than CVE-2013-0194 and CVE-2013-0195.

Cross-site Scripting (XSS) in Piwik before 1.10.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. NOTE: This is a different vulnerability than CVE-2013-0193 and CVE-2013-0194.

Cross-site Scripting (XSS) in Piwik before 1.10.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. NOTE: This is a different vulnerability than CVE-2013-0193 and CVE-2013-0195.

**Name of the Vulnerable Software and Affected Versions** phpPgAdmin versions prior to 5.0.4 **Description** The issue concerns multiple cross-site scripting (XSS) vulnerabilities. These vulnerabilities allow remote attackers to inject arbitrary web script or HTML. The injection can occur via the `name` or `type` of a function. **Recommendations** For versions prior to 5.0.4, update to version 5.0.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** ownCloud Server versions 5.0.x through 5.0.5 **Description** The issue allows remote authenticated users to execute arbitrary SQL commands. **Recommendations** For ownCloud Server versions 5.0.x through 5.0.5, update to version 5.0.6 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Bugzilla versions 4.1.x through 4.2.6 Bugzilla versions 4.3.x Bugzilla versions 4.4.x prior to 4.4.1 **Description** The issue allows remote attackers to inject arbitrary web script or HTML via a field value that is not properly handled during construction of a tabular report. This can be achieved through the `summary` or `real name` field. **Recommendations** For Bugzilla versions 4.1.x through 4.2.6, update to version 4.2.7 or later. For Bugzilla versions 4.3.x, update to version 4.4.1 or later. For Bugzilla versions 4.4.x prior to 4.4.1, update to version 4.4.1 or later.

**Name of the Vulnerable Software and Affected Versions** Bugzilla versions 4.4.x through 4.4.0 **Description** A cross-site request forgery issue exists, allowing remote attackers to hijack user authentication for modifying bugs. This is achieved through vectors involving a midair-collision token. **Recommendations** For Bugzilla versions 4.4.x through 4.4.0, update to version 4.4.1 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SyntaxHighlight GeSHi extension for MediaWiki versions prior to September 2013 **Description** The issue is related to a cross-site scripting (XSS) vulnerability. This vulnerability allows remote attackers to inject arbitrary web script or HTML. **Recommendations** For versions prior to September 2013, update the SyntaxHighlight GeSHi extension to a version released after September 2013.

**Name of the Vulnerable Software and Affected Versions** Bugzilla versions 4.1.x through 4.2.3 Bugzilla versions 4.3.x through 4.4rc1 **Description** A cross-site scripting issue allows remote attackers to inject arbitrary web script or HTML via a field value that is not properly handled during construction of a tabular report, such as the `Version` field. **Recommendations** For Bugzilla versions 4.1.x through 4.2.3, update to version 4.2.4 or later. For Bugzilla versions 4.3.x through 4.4rc1, update to version 4.4rc1 or later.

**Name of the Vulnerable Software and Affected Versions** Gallery 3 versions prior to 3.0.4 **Description** The issue allows attackers to execute arbitrary PHP code via unknown vectors. **Recommendations** For versions prior to 3.0.4, update to version 3.0.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Gallery 3 versions prior to 3.0.4 **Description** The issue allows remote attackers to inject arbitrary web script or HTML via unspecified vectors, which can lead to cross-site scripting (XSS) attacks. **Recommendations** For Gallery 3 versions prior to 3.0.4, update to version 3.0.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** phpMyAdmin versions 3.4.x through 3.4.10.1 **Description** The issue allows remote attackers to obtain sensitive information via a direct request to `show config errors.php`, which reveals the installation path in an error message when a configuration file does not exist. **Recommendations** For phpMyAdmin versions 3.4.x through 3.4.10.1, update to version 3.4.10.2 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Mathopd versions 1.4.x through 1.5.x before 1.5p7 **Description** A directory traversal issue exists when Mathopd is configured with the * construct for mass virtual hosting, allowing remote attackers to read arbitrary files by sending a crafted Host header. **Recommendations** For versions 1.4.x through 1.5.x before 1.5p7, update to version 1.5p7 or later to resolve the issue.