Naoya Miyaguchi

**Nome do software vulnerável e versões afetadas** Versões do a-blog cms anteriores à 3.1.7 Versões do a-blog cms anteriores à 3.0.29 Versões do a-blog cms anteriores à 2.11.58 Versões do a-blog cms anteriores à 2.10.50 Versão 2.9.0 do a-blog cms e anteriores **Descrição** O problema está relacionado à validação inadequada de entradas, permitindo que um invasor remoto autenticado execute código arbitrário ao enviar um arquivo SVG especialmente criado. **Recomendações** Para versões anteriores à 3.1.7, atualize para a versão 3.1.7 ou posterior. Para versões anteriores à 3.0.29, atualize para a versão 3.0.29 ou posterior. Para versões anteriores à 2.11.58, atualize para a versão 2.11.58 ou posterior. Para versões anteriores à 2.10.50, atualize para a versão 2.10.50 ou posterior. Para a versão 2.9.0 e anteriores, atualize para uma versão posterior. Como solução temporária, considere restringir o upload de arquivos SVG até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting vulnerability exists, exploiting a behavior of the XSS Filter. If this issue is exploited, an arbitrary script may be executed on the web browser of the user who accessed the site using the product. **Recommendations** For versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable areas of the application until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists in the event handlers of the `pre` tags. If exploited, an arbitrary script may be executed on the web browser of the user who accessed the site using the product. **Recommendations** For GROWI versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider disabling the event handlers of the `pre` tags until a patch is available. Restrict access to the `pre` tags to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists in the anchor tag of GROWI. If exploited, an arbitrary script may be executed on the web browser of the user who accessed the site using the product. **Recommendations** For versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider restricting the use of the anchor tag in GROWI until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists when processing MathJax. This could allow an arbitrary script to be executed on the user's web browser if the vulnerability is exploited. **Recommendations** For versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider disabling the MathJax processing feature until a patch is available. Restrict access to the MathJax module to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists in the App Settings (/admin/app) page, the Markdown Settings (/admin/markdown) page, and the Customize (/admin/customize) page. This could allow an arbitrary script to be executed on the web browser of the user who accessed the site using the product. **Recommendations** For versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the /admin/app, /admin/markdown, and /admin/customize pages until a patch is applied. Avoid using these pages in production environments until the update is installed.

**Nome do software vulnerável e versões afetadas: GROWI versões 4.2.0 a 4.2.7 Descrição: O problema está relacionado a uma vulnerabilidade de cross-site scripting refletido devido à verificação insuficiente dos parâmetros de consulta de URL. Isso permite que invasores remotos injetem um script arbitrário por meio de vetores não especificados. Recomendações: Para as versões 4.2.0 a 4.2.7, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GROWI, versões 4.2.0 a 4.2.7 Descrição: Uma vulnerabilidade de cross-site scripting armazenada na página de administração do GROWI permite que invasores remotos autenticados injetem um script arbitrário por meio de vetores não especificados. Recomendações: Para as versões 4.2.0 a 4.2.7, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de evitar a exploração.