Picaro_O

**Nome do Software Vulnerável e Versões Afetadas** Exponent CMS versão 2.6 **Descrição** Atacantes autenticados podem realizar cross-site scripting armazenado injetando scripts maliciosos através dos parâmetros `Title` e `Text Block` no endpoint de edição de texto. Isso é feito injetando payloads de iframe com eventos onload de SVG incorporados para executar JavaScript arbitrário. Além disso, a aplicação expõe credenciais de banco de dados em respostas e carece de proteção contra força bruta em endpoints de autenticação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Bitrix24 (affected versions not specified) **Description** A logged-in attacker can execute arbitrary system commands through the PHP command line admin interface, leading to remote code execution. The attacker leverages this by sending crafted POST requests to an administrative endpoint. The application's privileges are used to execute the code. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.