Moriel Harush

Name of the Vulnerable Software and Affected Versions Replicator versions 1.0.5 Description A remote code execution (RCE) issue exists in applications utilizing the Replicator node package manager. The vulnerability stems from the deserialization of untrusted user input, leading to the execution of the resulting object. This allows for unauthenticated access and potential compromise of systems. Recommendations Update Replicator to a version that addresses this issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do LiquidJS anteriores à 10.25.0 **Descrição** As tags `layout`, `render` e `include` estão suscetíveis a acesso arbitrário a arquivos através de caminhos absolutos. Isso pode ocorrer quando os caminhos são fornecidos como literais de string ou através de variáveis Liquid, particularmente quando `dynamicPartials: true` está habilitado. Isso permite que usuários maliciosos que possam controlar o conteúdo do template ou especificar caminhos de arquivo dentro de variáveis Liquid potencialmente acessem arquivos sensíveis. O problema envolve o uso do módulo `fs` e sua implementação padrão, que pode ser contornada para acessar arquivos fora da estrutura de diretórios pretendida. A função `fs.fallback` é um componente chave nesta questão. **Recomendações** Atualize para a versão 10.25.0 ou posterior do LiquidJS. Como solução temporária, modifique o arquivo `dist/liquid.node.js` para incluir verificações adicionais dentro da função `fs.fallback` para garantir que os caminhos de arquivo estejam contidos dentro dos diretórios permitidos. Sobrescreva a implementação padrão do `fs` com uma implementação personalizada que restrinja o acesso a arquivos a locais autorizados.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pode ser determinado. (versões afetadas não especificadas) **Descrição** O problema envolve a exposição de informações sensíveis a um ator não autorizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pode ser determinado. (versões afetadas não especificadas) **Descrição** Este problema envolve um contorno de autorização através de uma chave controlada pelo usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** (versões afetadas não especificadas) **Descrição** O problema envolve uma alteração de senha não verificada, permitindo potencialmente a modificação não autorizada das credenciais de usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** (versões afetadas não especificadas) **Descrição** A vulnerabilidade envolve uma discrepância observável na resposta. Este problema refere-se a uma divergência entre as respostas esperadas e as reais de um sistema ou aplicação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: (versões afetadas não especificadas) **Descrição** O software apresenta controle de acesso inadequado. Isso permite acesso não autorizado a recursos. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: O nome do produto não pode ser determinado. (versões afetadas não especificadas) **Descrição** Este problema envolve um bypass de autorização por meio de uma chave controlada pelo usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Media CP Media Control Panel latest version **Description** The issue concerns a reflected XSS that can be executed through an unspecified endpoint. There is no information provided about the estimated number of potentially affected devices worldwide or details about real-world incidents where this issue was exploited. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Media CP Media Control Panel latest version **Description** The issue allows for CSRF, which is possible through an unspecified endpoint. **Recommendations** For the latest version of Media CP Media Control Panel, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Media CP Media Control Panel (affected versions not specified) **Description** The issue is related to insufficient protection of credential changes. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Media CP Media Control Panel latest version **Description** A Permissive Flash Cross-domain Policy in the Media CP Media Control Panel may allow information disclosure. **Recommendations** For the Media CP Media Control Panel latest version, consider restricting access to the flash cross-domain policy until a more restrictive policy can be implemented.