Metin Yunus Kandemir

Nome do software vulnerável e versões afetadas: Microsoft Office (versões afetadas não especificadas) Microsoft 365 Apps for Enterprise (versões afetadas não especificadas) Descrição: O problema está relacionado à proteção insuficiente dos dados de serviço no Microsoft Office e no Microsoft 365 Apps for Enterprise, permitindo que um invasor remoto realize ataques de falsificação de identidade. Isso pode afetar o sistema. Recomendações: Para o Microsoft Office, considere restringir o acesso a recursos confidenciais até que uma correção esteja disponível. Para o Microsoft 365 Apps for Enterprise, evite usar componentes potencialmente vulneráveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Asp.Net Zero versions prior to 12.3.0 **Description** The issue is related to an open redirect through HTML injection in user messages, allowing remote attackers to redirect targeted victims to any URL via the '<meta http-equiv="refresh">' in the WebSocket messages. This can be exploited by injecting malicious HTML code into user messages, enabling attackers to redirect users to arbitrary URLs. The estimated number of potentially affected devices worldwide is not specified. **Recommendations** For versions prior to 12.3.0, update to version 12.3.0 or later to resolve the issue. As a temporary workaround, consider disabling the use of HTML in user messages or restricting the use of WebSocket messages until a patch is available. Avoid using the '<meta http-equiv="refresh">' tag in WebSocket messages to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6202 **Descrição** A vulnerabilidade permite que invasores realizem a enumeração de nomes de usuário por meio de uma solicitação POST maliciosa enviada para “/ServletAPI/accounts/login”. Isso permite que invasores identifiquem nomes de usuário válidos, o que pode levar a novos ataques. **Recomendações** Para versões anteriores à 6202, atualize para a versão 6202 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/ServletAPI/accounts/login” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6121 Versões do ADAuditPlus anteriores à 7060 Versões do Exchange Reporter Plus anteriores à 5701 Versões do ADManagerPlus anteriores à 7131 **Descrição** A vulnerabilidade permite a divulgação do hash NTLM durante determinadas etapas de configuração do caminho de armazenamento. Isso afeta os produtos Zoho ManageEngine, podendo levar a violações de segurança. **Recomendações** Para as versões do Zoho ManageEngine ADSelfService Plus anteriores à 6121, atualize para a versão 6121 ou posterior. Para versões do ADAuditPlus anteriores à 7060, atualize para a versão 7060 ou posterior. Para versões do Exchange Reporter Plus anteriores à 5701, atualize para a versão 5701 ou posterior. Para versões do ADManagerPlus anteriores à 7131, atualize para a versão 7131 ou posterior.

**Name of the Vulnerable Software and Affected Versions** WEB STUDIO Ultimate Loan Manager version 2.0 **Description** The issue exists due to the presence of a cross-site scripting (XSS) flaw. This flaw can be exploited by adding a branch under the Branches button and setting the `notes` parameter with crafted JavaScript code. **Recommendations** For WEB STUDIO Ultimate Loan Manager version 2.0, as a temporary workaround, consider disabling the ability to add branches or restrict the input for the `notes` parameter to prevent the execution of malicious JavaScript code until a patch is available.

**Name of the Vulnerable Software and Affected Versions** MyT version 1.5.1 **Description** The issue concerns a problem where the `username` parameter in the User component has XSS. **Recommendations** For MyT version 1.5.1, avoid using the `username` parameter until the issue is resolved.