Niklas Schilling

**Nome do software vulnerável e versões afetadas** Versões do Statamic anteriores à 3.4.17 Versões do Statamic anteriores à 4.46.0 **Descrição** A vulnerabilidade permite que arquivos HTML criados para se parecerem com arquivos jpg sejam enviados, possibilitando ataques de cross-site scripting (XSS). Isso afeta formulários front-end com campos de ativos sem validação de tipo MIME, campos de ativos no painel de controle e o navegador de ativos no painel de controle. Se o XSS for criado de maneira específica, o recurso “copiar link de redefinição de senha” pode ser explorado para obter acesso ao token de redefinição de senha do usuário e à sua conta. O usuário autorizado deve executar o XSS para que a vulnerabilidade ocorra. **Recomendações** Para versões anteriores à 3.4.17, atualize para a versão 3.4.17 ou posterior para corrigir a vulnerabilidade XSS e desativar a funcionalidade de copiar o link de redefinição de senha. Para versões anteriores à 4.46.0, atualize para a versão 4.46.0 ou posterior para corrigir a vulnerabilidade XSS e desativar a funcionalidade de copiar o link de redefinição de senha.

**Name of the Vulnerable Software and Affected Versions** PTC Codebeamer (affected versions not specified) **Description** The issue exists due to inadequate protection of the web page structure in PTC Codebeamer, allowing a remote attacker to execute arbitrary code. If an attacker tricks an admin user into clicking on a malicious link, it may allow the attacker to inject arbitrary code to be executed in the browser on the target device. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do ILIAS anteriores à 7.16 **Descrição** A vulnerabilidade permite a injeção de comandos no sistema operacional. **Recomendações** Para versões anteriores à 7.16, atualize para a versão 7.16 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do ILIAS anteriores à 7.16 **Descrição** A vulnerabilidade permite o cross-site scripting (XSS), um tipo de ataque em que um invasor pode injetar scripts maliciosos em um site. **Recomendações** Para versões anteriores à 7.16, atualize para a versão 7.16 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do ILIAS anteriores à 7.16 **Descrição** A vulnerabilidade permite o controle externo do nome ou caminho de um arquivo. **Recomendações** Para versões anteriores à 7.16, atualize para a versão 7.16 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do ILIAS anteriores à 7.16 **Descrição** O problema está relacionado a um redirecionamento aberto no script `shib logout.php`, especificamente no tratamento do parâmetro `return`. Isso poderia permitir que um invasor remoto redirecionasse usuários para uma URL arbitrária. **Recomendações** Para versões anteriores à 7.16, atualize para a versão 7.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao script `shib logout.php` para minimizar o risco de exploração. Evite usar o parâmetro `return` no script afetado até que o problema seja resolvido.