Mounir Aarab

**Nome do software vulnerável e versões afetadas** Centreon Web, versões 22.10.x a 22.10.25 Centreon Web, versões 23.04.x a 23.04.22 Centreon Web, versões 23.10.x a 23.10.17 Versões do Centreon Web 24.04.x a 24.04.7 Versões do Centreon Web 24.10.x a 24.09 **Descrição** Foi detectada uma vulnerabilidade XSS armazenada no campo de nome de contato da configuração do usuário. Este formulário é acessível apenas a usuários autenticados com privilégios elevados. **Recomendações** Para as versões do Centreon Web 22.10.x a 22.10.25, atualize para a versão 22.10.26 ou posterior. Para as versões do Centreon Web 23.04.x a 23.04.22, atualize para a versão 23.04.23 ou posterior. Para as versões do Centreon Web 23.10.x a 23.10.17, atualize para a versão 23.10.18 ou posterior. Para as versões do Centreon Web 24.04.x a 24.04.7, atualize para a versão 24.04.8 ou posterior. Para as versões do Centreon Web 24.10.x a 24.09, atualize para a versão 24.10.0 ou posterior.

Nome do software vulnerável e versões afetadas: LAquis SCADA versão 4.7.1.511 Descrição: Uma vulnerabilidade de cross-site scripting no LAquis SCADA pode permitir que um invasor injete código arbitrário em uma página da web, possibilitando que ele roube cookies, redirecione usuários ou execute ações não autorizadas. Esse problema está relacionado à falta de medidas de proteção na estrutura da página da web, o que poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. Recomendações: Para o LAquis SCADA versão 4.7.1.511, considere desativar a funcionalidade da página da web ou restringir o acesso à interface web até que um patch esteja disponível para impedir a exploração da vulnerabilidade de cross-site scripting. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Titan SFTP e Titan MFT Server, versões 2.0.25.2426 e anteriores **Descrição** O problema diz respeito à exposição de informações confidenciais, incluindo senhas, em texto simples na resposta JSON ao configurar as definições de SMTP por meio da interface de usuário da Web. Essa exposição de informações confidenciais ocorre no Titan SFTP e no Titan MFT Server. **Recomendações** Para as versões 2.0.25.2426 e anteriores, considere restringir o acesso à interface de usuário da Web até que uma correção esteja disponível e evite configurar as definições SMTP por meio da interface de usuário da Web para minimizar o risco de exposição de informações confidenciais.

Nome do software vulnerável e versões afetadas: CodeAstro MembershipM-PHP (também conhecido como Sistema de Gerenciamento de Associados em PHP) versão 1.0 Descrição: A vulnerabilidade permite um ataque XSS armazenado no parâmetro `fullname` da página “add members.php”. Isso pode levar à execução de scripts maliciosos quando os dados armazenados forem visualizados. Recomendações: Para o CodeAstro MembershipM-PHP (também conhecido como Sistema de Gerenciamento de Membros em PHP) versão 1.0, considere validar e sanitizar as entradas do usuário para o parâmetro `fullname` na página “add members.php” a fim de prevenir ataques XSS. Como solução temporária, restrinja o acesso à página “add members.php” até que uma correção adequada seja aplicada.