Mingsong

**Nome do Software Vulnerável e Versões Afetadas** Drupal core versões 11.3.0 a 11.3.6 **Descrição** O Drupal core contém um problema onde as sugestões de entidade fornecidas durante o processo de adição de um link ao CKEditor 5 não são suficientemente sanitizadas. Isso permite que um usuário mal-intencionado execute um ataque de cross-site scripting (XSS) armazenado contra outros usuários. O cross-site scripting é uma falha na qual uma aplicação inclui dados não confiáveis em uma página web sem a validação adequada, permitindo que invasores executem scripts maliciosos no navegador da vítima. **Recomendações** Atualize para a versão 11.3.7.

**Name of the Vulnerable Software and Affected Versions** Drupal Tagify versions prior to 1.2.49 **Description** The Tagify module for Drupal does not properly sanitize user-provided input before using it in JavaScript templates within the Tagify widget. This allows for the execution of arbitrary JavaScript code in a user's browser when content is created or edited. The issue stems from insufficient input neutralization during web page generation, leading to a Cross-Site Scripting (XSS) condition. **Recommendations** Update Drupal Tagify to version 1.2.49 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma falha no núcleo do Drupal que permite a falsificação de conteúdo por meio de uma representação incorreta de informações críticas na interface do usuário. Este problema afeta a exibição de conteúdo dentro da aplicação. **Recomendações** Atualize o núcleo do Drupal para a versão 10.4.9 ou posterior. Atualize o núcleo do Drupal para a versão 10.5.6 ou posterior. Atualize o núcleo do Drupal para a versão 11.1.9 ou posterior. Atualize o núcleo do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma falha no núcleo do Drupal relacionada ao uso de um cache do navegador web que pode conter informações sensíveis. Isso ocorre devido a níveis de segurança de controle de acesso configurados incorretamente. **Recomendações** Atualize o núcleo do Drupal para a versão 10.4.9 ou posterior. Atualize o núcleo do Drupal para a versão 10.5.6 ou posterior. Atualize o núcleo do Drupal para a versão 11.1.9 ou posterior. Atualize o núcleo do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Events Log Track de 0.0.0 a 3.1.10 Versões do Events Log Track de 4.0.0 a 4.0.1 **Descrição** O problema está relacionado à alocação de recursos sem limites ou controle de taxa no Drupal Events Log Track, permitindo alocação excessiva. **Recomendações** Para as versões do Events Log Track de 0.0.0 a 3.1.10, atualize para a versão 3.1.11 ou posterior. Para as versões do Events Log Track de 4.0.0 a 4.0.1, atualize para a versão 4.0.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Drupal AI (Artificial Intelligence) versions 0.0.0 through 1.0.2 **Description** The issue is related to a Missing Authorization vulnerability, which allows Forceful Browsing in Drupal AI (Artificial Intelligence). **Recommendations** For versions 0.0.0 through 1.0.2, update to version 1.0.3 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Drupal core versions 8.0.0 through 10.3.12 Drupal core versions 10.4.0 through 10.4.2 Drupal core versions 11.0.0 through 11.0.11 Drupal core versions 11.1.0 through 11.1.2 **Description** The issue is related to an Incorrect Authorization vulnerability in Drupal core, allowing Forceful Browsing. **Recommendations** For versions 8.0.0 through 10.3.12, update to version 10.3.13 or later. For versions 10.4.0 through 10.4.2, update to version 10.4.3 or later. For versions 11.0.0 through 11.0.11, update to version 11.0.12 or later. For versions 11.1.0 through 11.1.2, update to version 11.1.3 or later.

Nome do software vulnerável e versões afetadas: Versões do Drupal Core 8.8.0 a 10.2.11 Versões do Drupal Core 10.3.0 a 10.3.9 Versões do Drupal Core 11.0.0 a 11.0.8 Descrição: O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor realize um ataque de cross-site scripting (XSS). Isso se deve à neutralização inadequada da entrada durante a geração da página da web, o que possibilita o cross-site scripting. O problema afeta o Drupal Core, permitindo que invasores explorem essa falha e levando a um XSS. Recomendações: Para as versões do Drupal Core 8.8.0 a 10.2.11, atualize para a versão 10.2.11 ou posterior. Para as versões do Drupal Core 10.3.0 a 10.3.9, atualize para a versão 10.3.9 ou posterior. Para as versões do Drupal Core 11.0.0 a 11.0.8, atualize para a versão 11.0.8 ou posterior. Como solução temporária, considere restringir o uso de JavaScript para renderizar mensagens de status em certos casos e configurações, a fim de minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Gutenberg versions 0.0.0 through 2.12.0 Gutenberg versions 3.0.0 through 3.0.4 **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability in Drupal Gutenberg, which allows for Cross-Site Request Forgery. This vulnerability can be exploited by a remote attacker to perform a CSRF attack. **Recommendations** For Gutenberg versions 0.0.0 through 2.12.0, update to version 2.13.0 or later. For Gutenberg versions 3.0.0 through 3.0.4, update to version 3.0.5 or later. As a temporary workaround, consider disabling the `Gutenberg` module until a patch is available. Restrict access to the `Gutenberg` module to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Drupal Symfony Mailer Lite, versões 0.0.0 a 1.0.6 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), que pode ser explorada por um invasor remoto para realizar um ataque CSRF. Essa vulnerabilidade afeta o módulo Drupal Symfony Mailer Lite, permitindo que um invasor falsifique solicitações em nome de um usuário. **Recomendações** Para as versões 0.0.0 a 1.0.6, atualize para a versão 1.0.6 ou posterior para resolver o problema. Como solução temporária, considere desativar o módulo vulnerável até que um patch esteja disponível. Restrinja o acesso ao módulo para minimizar o risco de exploração.