Philippe Oechslin

Pesquisador deObjectif Sécurité
#10941de 53,639
25.2CVSS total
Vulnerabilidades · 3
Média
1
Alta
1
Crítica
1
PT-2024-22244
6.1
2024-05-18
Kiteworks · Kiteworks Totemomail · CVE-2024-28063
**Nome do software vulnerável e versões afetadas** Versões do Kiteworks Totemomail até a 7.0.0 **Descrição** A vulnerabilidade permite um ataque XSS refletido através do endpoint `/responsiveUI/EnvelopeOpenServlet`, visando especificamente o parâmetro `envelopeRecipient`. Isso permite que possíveis invasores injetem scripts maliciosos na aplicação. **Recomendações** Para versões até a 7.0.0, como solução temporária, considere restringir o acesso ao endpoint `/responsiveUI/EnvelopeOpenServlet` para minimizar o risco de exploração. Evite usar o parâmetro `envelopeRecipient` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
PT-2024-22245
9.8
2024-05-18
Kiteworks · Kiteworks Totemomail · CVE-2024-28064
**Nome do software vulnerável e versões afetadas** Kiteworks Totemomail, versões 7.x a 8.2.1 **Descrição** A vulnerabilidade permite a traversal de diretórios, possibilitando operações de leitura e exclusão de arquivos sem autenticação, bem como operações de gravação, por meio do endpoint `/responsiveUI/EnvelopeOpenServlet`, especificamente com o parâmetro `messageId` e as variáveis `displayLoginChunkedImages` e `storeLoginChunkedImages`. **Recomendações** Para as versões 7.x a 8.2.1 do Kiteworks Totemomail, atualize para a versão 8.3.0 ou posterior para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao endpoint `/responsiveUI/EnvelopeOpenServlet` até que um patch esteja disponível. Evite usar o parâmetro `messageId` no endpoint afetado até que o problema seja resolvido. Restrinja o uso das variáveis `displayLoginChunkedImages` e `storeLoginChunkedImages` para minimizar o risco de exploração.
PT-2015-6879
9.3
2015-07-16
Siemens · Sicam Mic · CVE-2015-5386
**Name of the Vulnerable Software and Affected Versions** Siemens SICAM MIC devices with firmware prior to 2404 **Description** The issue allows remote attackers to bypass authentication and obtain administrative access via unspecified HTTP requests. **Recommendations** For firmware versions prior to 2404, update the firmware to version 2404 or later to resolve the issue.