Michael Blunt

**Nome do software vulnerável e versões afetadas** Versões do Cisco Nexus Dashboard Fabric Controller (NDFC) (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de controles de autorização na implementação da interface de programação de aplicativos (API) da plataforma Cisco NDFC. Isso poderia permitir que um invasor remoto com privilégios limitados comprometesse a integridade das informações protegidas. A vulnerabilidade existe devido à falta de controles de autorização em alguns pontos finais da API REST, o que poderia ser explorado pelo envio de solicitações de API maliciosas a um ponto final afetado. Uma exploração bem-sucedida poderia permitir que o invasor executasse funções limitadas de administração de rede, como ler informações de configuração do dispositivo, fazer upload de arquivos e modificar arquivos enviados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Yocto Project anteriores à 5.0 Versões do Yocto Project 3.1.x a 3.1.30 Versões do Yocto Project 4.0.x a 4.0.15 Versões do Yocto Project 4.3.x a 4.3.1 Versões do Bitbake anteriores à 2.6.2 **Descrição** O problema está relacionado à falta de validação de entrada no servidor Toaster, que está incluído no Bitbake. Isso permite que um invasor execute código remotamente no shell do servidor por meio de uma solicitação HTTP maliciosa. Não é necessária autenticação para o ataque. O servidor Toaster não é o padrão para compilações da linha de comando do Bitbake e é usado apenas para a interface de usuário baseada na web do Toaster para o Bitbake. **Recomendações** Para versões do Yocto Project anteriores à 5.0, atualize para a versão 5.0 ou posterior. Para versões do Yocto Project 3.1.x a 3.1.30, atualize para a versão 3.1.31 ou posterior. Para versões do Yocto Project de 4.0.x a 4.0.15, atualize para a versão 4.0.16 ou posterior. Para versões do Yocto Project de 4.3.x a 4.3.1, atualize para a versão 4.3.2 ou posterior. Para versões do Bitbake anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior. Como solução temporária, considere desativar o servidor Toaster até que um patch esteja disponível. Restrinja o acesso à interface de usuário baseada na web do Toaster para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SourceCodester Testimonial Page Manager versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no componente HTTP POST Request Handler, especificamente no arquivo add-testimonial.php. A manipulação dos argumentos `name`, `description` ou `testimony` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o SourceCodester Testimonial Page Manager versão 1.0, considere desativar o arquivo `add-testimonial.php` ou restringir o acesso a ele até que uma correção esteja disponível. Além disso, evite usar os argumentos `name`, `description` e `testimony` no manipulador de solicitações HTTP POST afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Testimonial Page Manager versão 1.0 **Descrição** Foi detectada uma falha crítica no processamento do arquivo delete-testimonial.php do componente HTTP GET Request Handler. A manipulação do argumento `testimony` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. **Recomendações** Para o SourceCodester Testimonial Page Manager versão 1.0, como solução temporária, considere restringir o acesso ao arquivo delete-testimonial.php até que um patch esteja disponível. Evite usar o argumento `testimony` no HTTP GET Request Handler afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Wedding Guest e-Book version 1.0 **Description** A vulnerability was found in SourceCodester Wedding Guest e-Book, affecting an unknown part of the file "/endpoint/add-guest.php". The manipulation of the `name` argument leads to cross-site scripting. It is possible to initiate the attack remotely. **Recommendations** For version 1.0, consider disabling access to the "/endpoint/add-guest.php" endpoint until a patch is available. Restrict the manipulation of the `name` argument to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Card Holder Management System version 1.0 **Description** A vulnerability was found in the SourceCodester Card Holder Management System, affecting some unknown functionality of the component Minus Value Handler. The manipulation leads to improper validation of specified quantity in input. The attack may be launched remotely. **Recommendations** For SourceCodester Card Holder Management System version 1.0, consider restricting access to the Minus Value Handler component until a patch is available. As a temporary workaround, avoid using the affected functionality to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.