Mattia Furlani

**Nome do software vulnerável e versões afetadas** Agenzia delle Entrate Desktop Telematico versão 1.0.0 **Descrição** A vulnerabilidade permite que invasores do tipo “man-in-the-middle” falsifiquem atualizações do produto, uma vez que o software se comunica com o servidor jws.agenziaentrate.it por meio de HTTP em texto simples. **Recomendações** Para a versão 1.0.0, considere desativar a conexão HTTP em texto simples com o servidor jws.agenziaentrate.it como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao servidor para minimizar o risco de exploração. Evite usar o protocolo HTTP em texto simples para atualizações do produto até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** VirtueMart versions prior to 3.2.14 **Description** A cross-site scripting (XSS) issue was found. The textareas in the backend of the plugin are vulnerable to this issue. By adding `</textarea>` to the value and saving the product/config, an attacker can execute arbitrary code when the product/config is edited again, potentially leading to XSS attacks. **Recommendations** For versions prior to 3.2.14, update to version 3.2.14 or later to resolve the issue. As a temporary workaround, consider restricting access to the backend of the plugin to minimize the risk of exploitation. Avoid using the textareas in the backend until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** EasyDiscuss extension versions prior to 4.0.21 **Description** The issue allows for XSS. **Recommendations** For versions prior to 4.0.21, update to version 4.0.21 or later to resolve the issue.