Nick Decker

**Nome do software vulnerável e versões afetadas: Dolibarr ERP e CRM versão 13.0.2 Descrição: A vulnerabilidade permite a execução de scripts entre sites (XSS) armazenados nos detalhes do objeto do recurso de gerenciamento de usuários. Isso pode ser demonstrado utilizando os caracteres > e < no atributo `onpointermove` de um elemento `BODY`. Recomendações: Para o Dolibarr ERP e CRM versão 13.0.2, considere desativar o recurso de gerenciamento de usuários até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso aos detalhes do objeto para minimizar o risco de ataques XSS. Evite usar o atributo `onpointermove` no elemento `BODY` do recurso de gerenciamento de usuários até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Dolibarr versão 13.0.2 Descrição: O módulo de criação de sites do Dolibarr permite a execução remota de código PHP devido a um mecanismo de proteção incompleto. Especificamente, embora as funções system, exec e shell exec sejam bloqueadas, as crases (backticks) não são bloqueadas, possibilitando essa exploração. Recomendações: Para a versão 13.0.2 do Dolibarr, considere desativar o módulo de criação de sites até que um patch esteja disponível para impedir a execução remota de código PHP. Restrinja o acesso ao módulo para minimizar o risco de exploração. Evite usar backticks no módulo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** VeryFitPro versão 3.2.8 **Descrição** O aplicativo VeryFitPro se comunica com a API de back-end por meio de HTTP em texto simples, o que inclui logins, registros e solicitações de alteração de senha. Isso permite o roubo de informações e a invasão de contas por meio de sniffing de rede. **Recomendações** Para a versão 3.2.8, considere desativar a comunicação com a API de back-end até que um método de conexão segura seja implementado, como HTTPS, para evitar o roubo de informações e a invasão de contas. Restrinja o acesso a informações confidenciais, como credenciais de login e solicitações de alteração de senha, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões 3.7.1 a 3.9.1 do Rocket.Chat Descrição: Existe uma falha de enumeração de endereços de e-mail na função de redefinição de senha. Isso permite a identificação potencial de endereços de e-mail associados a contas de usuário. Recomendações: Para as versões 3.7.1 a 3.9.1 do Rocket.Chat, atualize para uma versão posterior à 3.9.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função de redefinição de senha até que um patch esteja disponível.