N1Nj4Sec

Nome do software vulnerável e versões afetadas: Versões do GravityZone Console anteriores à 6.38.1-2 Descrição: Um problema no analisador da lista de hosts autorizados do serviço de proxy implementado no GravityZone Update Server permite que um invasor provoque uma falsificação de solicitação do lado do servidor (SSRF). Esse problema está relacionado à verificação insuficiente das solicitações recebidas, o que pode ser explorado por um invasor remoto para realizar um ataque SSRF. Recomendações: Para versões do GravityZone Console anteriores à 6.38.1-2, atualize para a versão 6.38.1-2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao serviço de proxy para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Bitdefender Endpoint Security para Linux versão 7.0.5.200089 Bitdefender Endpoint Security para Windows versão 7.9.9.380 GravityZone Control Center (On Premises) versão 6.36.1 **Descrição** Uma vulnerabilidade de expressão regular incorreta no Bitdefender GravityZone Update Server permite que um invasor cause uma falsificação de solicitação do lado do servidor (SSRF) e reconfigure o relé. **Recomendações** Para o Bitdefender Endpoint Security para Linux versão 7.0.5.200089, atualize para uma versão que inclua a correção para a vulnerabilidade de expressão regular incorreta. Para o Bitdefender Endpoint Security para Windows versão 7.9.9.380, atualize para uma versão que inclua a correção para a vulnerabilidade de expressão regular incorreta. Para o GravityZone Control Center (On Premises) versão 6.36.1, atualize para uma versão que inclua a correção para a vulnerabilidade de expressão regular incorreta. Como solução alternativa temporária, considere restringir o acesso ao componente vulnerável no GravityZone Update Server para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Bitdefender Endpoint Security para Linux versão 7.0.5.200089 Bitdefender Endpoint Security para Windows versão 7.9.9.380 GravityZone Control Center (On Premises) versão 6.36.1 **Descrição** O problema está relacionado a uma vulnerabilidade de limitação inadequada de um nome de caminho para um diretório restrito (“Path Traversal”) no componente UpdateServer do Bitdefender GravityZone. Essa vulnerabilidade permite que um invasor execute código arbitrário em instâncias vulneráveis. **Recomendações** Para o Bitdefender Endpoint Security para Linux versão 7.0.5.200089, atualize para uma versão que inclua uma correção para a vulnerabilidade do componente UpdateServer. Para o Bitdefender Endpoint Security para Windows versão 7.9.9.380, atualize para uma versão que inclua uma correção para a vulnerabilidade do componente UpdateServer. Para o GravityZone Control Center (On Premises) versão 6.36.1, atualize para uma versão que inclua uma correção para a vulnerabilidade do componente UpdateServer. Como solução alternativa temporária, considere desativar o componente UpdateServer até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Paessler PRTG Network Monitor (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores remotos contornem a autenticação em instalações afetadas do Paessler PRTG Network Monitor. É necessária a interação do usuário para explorar esta vulnerabilidade, sendo que o alvo deve acessar uma página maliciosa ou abrir um arquivo malicioso. A falha específica existe no console web, resultante da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar à injeção de um script arbitrário. Um invasor pode aproveitar essa vulnerabilidade para contornar a autenticação no sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 4.1.12 do plugin Plus Addons for Elementor Page Builder para WordPress **Descrição** A vulnerabilidade diz respeito a um problema de Cross-Site Scripting refletido. Ela está relacionada à ação AJAX `theplus more post`, que não sanitizava adequadamente alguns de seus campos. Isso torna o plugin vulnerável tanto para usuários não autenticados quanto para usuários autenticados. **Recomendações** Para versões anteriores à 4.1.12, atualize para a versão 4.1.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX `theplus more post` até que um patch seja aplicado.