Nicholas Page

**Nome do Software Vulnerável e Versões Afetadas** Versões do BEIMS Contractor Web anteriores à 5.7.139 **Descrição** Existe uma vulnerabilidade de Injeção de SQL no BEIMS Contractor Web, um produto legado que não é mais mantido ou corrigido pelo fornecedor. Isso permite que um usuário não autorizado recupere conteúdos sensíveis do banco de dados por meio de parâmetros de entrada não sanitizados. O problema ocorre devido à validação de entrada inadequada no endpoint `/BEIMSWeb/contractor.asp`. A exploração bem-sucedida requer que o endpoint `contractor.asp` esteja exposto à internet e permite que atacantes executem comandos SQL arbitrários, comprometendo potencialmente a confidencialidade, integridade e disponibilidade do banco de dados. **Recomendações** Versões anteriores à 5.7.139 são vulneráveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Formulatrix Rock Maker Web versões 3.2.1.1 e posteriores **Descrição** Uma vulnerabilidade de Inclusão Local de Arquivos (LFI) na função Render do Formulatrix Rock Maker Web permite que um atacante remoto obtenha dados sensíveis por meio de execução arbitrária de código. Isso poderia permitir que um ator malicioso executasse scripts maliciosos, baixando automaticamente arquivos de configuração em locais conhecidos para exfiltrar dados, incluindo credenciais. A falta de limitação de taxa também permite que um ator malicioso enumere o sistema de arquivos da máquina host, potencialmente levando ao comprometimento total do host. **Recomendações** Para as versões 3.2.1.1 e posteriores, atualize para uma versão que inclua uma correção para este problema, pois nenhuma solução alternativa específica é fornecida para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.