Phoenix

**Nome do software vulnerável e versões afetadas** Microweber versão 1.2.15 **Descrição** A vulnerabilidade permite que invasores assumam o controle de contas por meio de um ataque de injeção no cabeçalho do host. Isso possibilita o acesso não autorizado a contas de usuários, podendo levar a vazamentos de dados ou outras atividades maliciosas. **Recomendações** Para a versão 1.2.15 do Microweber, atualize para uma versão mais recente que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso a configurações confidenciais da conta para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Gutenberg até a 13.7.3 para WordPress **Descrição** A vulnerabilidade permite um ataque XSS armazenado por parte do usuário com a função de Colaborador, por meio de um documento SVG enviado ao recurso “Inserir a partir de URL”. A carga do XSS não é executada no contexto do domínio da instância do WordPress. No entanto, alguns produtos similares bloqueiam tentativas análogas de usuários com privilégios limitados de referenciar documentos SVG, e essa diferença de comportamento pode ter relevância de segurança para alguns administradores de sites WordPress. **Recomendações** Para versões até a 13.7.3, considere desativar o recurso “Inserir a partir de URL” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de upload de documentos SVG para minimizar o risco de ataques XSS armazenados.

**Nome do software vulnerável e versões afetadas** Versões 1.3.1 e anteriores do Known **Descrição** O problema está relacionado a uma Referência Direta a Objetos Não Segura (IDOR) no Known. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 1.3.1 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões conhecidas: 1.2.2 a 1.3.1 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto `Your Name`. **Recomendações** Para as versões 1.2.2 a 1.3.1, considere desativar o campo de texto `Your Name` até que uma correção esteja disponível para impedir a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões conhecidas: 1.2.2 a 1.3.1 **Descrição** Uma falha na função `isSVG()` permite que invasores executem código arbitrário por meio de um arquivo SVG malicioso. O relatório do pesquisador indica que as versões 1.3.1 e anteriores estão vulneráveis. **Recomendações** Para as versões 1.2.2 a 1.3.1, considere desativar a função `isSVG()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões conhecidas: 1.3.1 e anteriores **Descrição** A vulnerabilidade permite que invasores assumam o controle de contas por meio de um ataque de injeção no cabeçalho do host. **Recomendações** Para as versões 1.3.1 e anteriores, considere restringir o acesso a informações confidenciais da conta até que uma correção esteja disponível. Como solução temporária, considere implementar validação adicional no cabeçalho do host para impedir ataques de injeção. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.