Nakul Ratti

**Nome do software vulnerável e versões afetadas** b2evolution CMS versão 6.11.6-stable **Descrição** Existe uma vulnerabilidade de cross-site scripting refletido, permitindo que invasores remotos injetem scripts da Web ou código HTML arbitrários. Isso é feito por meio do parâmetro `tab3` no arquivo evoadm.php. **Recomendações** Para a versão 6.11.6-stable, considere restringir o acesso ao arquivo evoadm.php ou desativar o parâmetro `tab3` para minimizar o risco de exploração até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do CMS b2evolution anteriores à 6.11.6 **Descrição** A vulnerabilidade permite que um invasor execute redirecionamentos maliciosos para um recurso controlado por ele por meio do parâmetro `redirect to` no arquivo `email passthrough.php`. **Recomendações** Para versões anteriores à 6.11.6, atualize para a versão 6.11.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `email passthrough.php` ou desativar o parâmetro `redirect to` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do CMS b2evolution anteriores à 6.11.7 **Descrição** A vulnerabilidade permite que um invasor execute código JavaScript malicioso por meio do campo de entrada do nome do plugin no módulo de plugins. Trata-se de uma vulnerabilidade do tipo XSS armazenado. **Recomendações** Para versões do CMS b2evolution anteriores à 6.11.7, atualize para a versão 6.11.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo de plugins para minimizar o risco de exploração. Evite usar o campo de entrada do nome do plugin no módulo de plugins até que o problema seja resolvido.