Matt Austin

**Nome do software vulnerável e versões afetadas** Versões do Zulip Desktop anteriores à 5.0.0 **Descrição** A vulnerabilidade permite que invasores realizem gravações por meio da webcam e do microfone devido à ausência de um mecanismo de tratamento de solicitações de permissão. **Recomendações** Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Zulip Desktop anteriores à 5.0.0 **Descrição** O problema está relacionado ao uso indevido de `shell.openExternal` e `shell.openItem` com conteúdo não confiável, levando à execução remota de código. **Recomendações** Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Microsoft Teams (versões afetadas não especificadas) Descrição: O problema está relacionado a uma falha na gestão da geração de código no Microsoft Teams. Isso permite que um invasor remoto execute código arbitrário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do módulo htmlformentry do OpenMRS anteriores à 3.11.0 **Descrição** Foi detectada uma vulnerabilidade de execução remota de código, permitindo que um arquivo malicioso da linguagem de modelos Velocity fosse gravado em um diretório por meio de traversal de caminho. Esse arquivo poderia então ser acessado e executado. **Recomendações** Para versões anteriores à 3.11.0, atualize para a versão 3.11.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos arquivos da linguagem de modelo Velocity para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Zulip Server anteriores à 2.1.3 **Descrição** A vulnerabilidade permite ataques XSS por meio do recurso modal link na funcionalidade Markdown. **Recomendações** Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Zulip Desktop, versões 2.3.82 a 4.0.2 **Descrição** A vulnerabilidade permite o carregamento de conteúdo não confiável em uma visualização web do Electron com a segurança da web desativada, o que pode ser explorado para ataques XSS de várias maneiras. **Recomendações** Para as versões 2.3.82 a 4.0.2 do Zulip Desktop, atualize para a versão 4.0.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a visualização web do Electron até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Yammer Desktop App (affected versions not specified) **Description** A remote code execution issue exists due to the loading of arbitrary content. This allows for potential exploitation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** GitHub Electron versions 1.7.15 through 1.7.15 GitHub Electron versions 1.8.7 through 1.8.7 GitHub Electron versions 2.0.7 through 2.0.7 GitHub Electron versions 3.0.0-beta.6 through 3.0.0-beta.6 **Description** The issue is caused by errors in access control and can be leveraged to perform remote code execution. In certain scenarios involving IFRAME elements and `nativeWindowOpen: true` or `sandbox: true` options, the vulnerability can be exploited. This can allow a remote attacker to execute arbitrary code using a specially crafted iframe element. **Recommendations** Upgrade to version 1.7.16 or later for GitHub Electron version 1.7.15. Upgrade to version 1.8.8 or later for GitHub Electron version 1.8.7. Upgrade to version 2.0.8 or later for GitHub Electron version 2.0.7. Upgrade to version 3.0.0-beta.7 or later for GitHub Electron version 3.0.0-beta.6.

Name of the Vulnerable Software and Affected Versions: static-eval versions prior to 2.0.0 Description: The issue allows untrusted user input to access the global function constructor, effectively enabling arbitrary code execution. This occurs because affected versions of the static-eval module pass user input directly to the global function constructor when parsing expressions via the package. Recommendations: Update to version 2.0.0 or later.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 21.0.1180.57 on Mac OS X and Linux, Google Chrome versions prior to 21.0.1180.60 on Windows and Chrome Frame **Description** The issue allows user-assisted remote attackers to cause a denial of service due to resource consumption via a crafted web site, as it does not request user confirmation before continuing a large series of downloads. **Recommendations** For Google Chrome versions prior to 21.0.1180.57 on Mac OS X and Linux, update to version 21.0.1180.57 or later. For Google Chrome versions prior to 21.0.1180.60 on Windows and Chrome Frame, update to version 21.0.1180.60 or later.