R0Ck3T1973

**Nome do software vulnerável e versões afetadas** Versões do Tiki anteriores à 27.1 **Descrição** A vulnerabilidade permite que usuários com permissões específicas insiram uma carga XSS armazenada no campo “Nome” da seção “Módulos”, acessível através do arquivo tiki-admin modules.php. Isso pode levar à execução de scripts maliciosos quando o módulo for acessado. **Recomendações** Para versões anteriores à 27.1, atualize para a versão 27.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à seção Módulos para usuários com permissões que possam ser usadas para inserir cargas maliciosas.

**Nome do software vulnerável e versões afetadas** Versões do Tiki anteriores à 27.1 **Descrição** A vulnerabilidade permite que usuários com permissões específicas insiram uma carga XSS armazenada na página inicial (Index) ao criar ou editar um wiki externo. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 27.1, atualize para a versão 27.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso “Criar/Editar Wiki Externa” para usuários com determinadas permissões até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Tiki anteriores à 27.1 **Descrição** A vulnerabilidade permite que usuários com permissões específicas insiram uma carga XSS armazenada no campo “Nome” ao criar ou editar um wiki externo. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 27.1, atualize para a versão 27.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso “Criar/Editar Wiki Externa” para usuários com determinadas permissões até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Tiki anteriores à 27.1 **Descrição** A vulnerabilidade permite que usuários com permissões específicas insiram um payload XSS armazenado na descrição, o que pode levar a brechas de segurança. **Recomendações** Para versões anteriores à 27.1, atualize para a versão 27.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Mara CMS versão 7.5 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) no arquivo menuedit.php permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa. Recomendações: Para o Mara CMS versão 7.5, atualize para uma versão que inclua uma correção para esta vulnerabilidade, pois a versão atual permite a execução de scripts web ou HTML arbitrários, representando um risco significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Mara versão 7.5 **Descrição** Uma falha de execução remota de código no componente `/codebase/dir.php?type=filenew` permite que invasores executem comandos arbitrários por meio de um arquivo PHP malicioso. **Recomendações** Para a Mara versão 7.5, considere desativar o componente `/codebase/dir.php?type=filenew` até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a este componente para minimizar o risco de execução de comandos arbitrários. Evite usar arquivos PHP criados especificamente para esse fim no componente afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TikiWiki versão 21.4 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa no módulo “Adicionar Evento” do componente tiki-calendar.php. Trata-se de uma vulnerabilidade de script entre sites (XSS). **Recomendações** Para o TikiWiki versão 21.4, considere desativar o módulo “Add Event” no componente tiki-calendar.php até que um patch esteja disponível. Restrinja o acesso ao componente tiki-calendar.php para minimizar o risco de exploração. Evite usar o módulo “Add Event” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TikiWiki versão 21.4 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa no módulo “Criar categoria” do componente tiki-browse categories.php. Trata-se de uma vulnerabilidade de script entre sites (XSS). **Recomendações** Para o TikiWiki versão 21.4, considere desativar o módulo “Criar categoria” até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS no componente tiki-browse categories.php.

**Nome do software vulnerável e versões afetadas** Monstra versão 3.0.4 **Descrição** Uma falha de execução remota de código no componente `/admin/index.php?id=themes&action=edit template&filename=blog` permite que invasores executem comandos arbitrários por meio de um arquivo PHP malicioso. **Recomendações** Para a versão 3.0.4 do Monstra, considere desativar o acesso ao endpoint `/admin/index.php?id=themes&action=edit template&filename=blog` até que uma correção esteja disponível. Restrinja a capacidade de fazer upload ou executar arquivos PHP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: BlackCat CMS versão 1.3.6 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Adicionar página” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Title`. Recomendações: Para o BlackCat CMS versão 1.3.6, considere desativar o recurso “Adicionar Página” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao parâmetro `Title` no recurso “Adicionar Página” para minimizar o risco de execução de scripts web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: moziloCMS versão 2.0 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Content`. Recomendações: Para o moziloCMS versão 2.0, considere restringir o acesso ao parâmetro `Content` para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Codoforum versão 5.0.2 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Smileys” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Smiley Code`. Recomendações: Para o Codoforum versão 5.0.2, considere desativar o recurso “Smileys” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao parâmetro `Smiley Code` para minimizar o risco de execução de scripts web arbitrários.

**Nome do software vulnerável e versões afetadas: Codoforum versão 5.0.2 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Páginas” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Título da página`. Recomendações: Para o Codoforum versão 5.0.2, considere desativar o recurso “Páginas” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao parâmetro `Título da Página` para minimizar o risco de execução de scripts web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: BlackCat CMS versão 1.3.6 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Admin-Tools” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de cargas maliciosas inseridas nos módulos `Output Filters` e `Droplets`. Recomendações: Para o BlackCat CMS versão 1.3.6, considere desativar o recurso `Admin-Tools`, especificamente os módulos `Output Filters` e `Droplets`, até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a esses módulos para minimizar o risco de execução de scripts web ou HTML arbitrários.

**Nome do software vulnerável e versões afetadas: Codoforum versão 5.0.2 Descrição: Uma vulnerabilidade de cross-site scripting armazenada no recurso “Gerenciar usuários” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Username`. Recomendações: Para o Codoforum versão 5.0.2, como solução temporária, considere restringir o acesso ao recurso “Gerenciar usuários” até que uma correção esteja disponível. Evite usar o parâmetro `Username` no recurso afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Rukovoditel versão 2.7.2 Descrição: Uma vulnerabilidade de cross-site scripting armazenada no recurso “Alerta de usuários” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Title`. Recomendações: Para o Rukovoditel versão 2.7.2, considere restringir o acesso ao recurso “Alerta de usuários” até que uma correção esteja disponível e evite usar o parâmetro `Title` nesse recurso para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Rukovoditel versão 2.7.2 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Listas Globais” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Name`. Recomendações: Para o Rukovoditel versão 2.7.2, considere restringir o acesso ao recurso “Global Lists” até que uma correção esteja disponível e evite usar o parâmetro `Name` nesse recurso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Rukovoditel versão 2.7.2 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Grupos de acesso de usuários” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Name`. Recomendações: Para o Rukovoditel versão 2.7.2, considere restringir o acesso ao recurso “Grupos de acesso de usuários” até que uma correção esteja disponível e evite usar o parâmetro `Name` nesse recurso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Rukovoditel versão 2.7.2 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Lista de Entidades” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `Name`. Recomendações: Para o Rukovoditel versão 2.7.2, considere restringir o acesso ao recurso “Lista de Entidades” até que uma correção esteja disponível e evite usar o parâmetro `Name` nesse recurso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: dotCMS versão 21.05.1 Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida nos parâmetros `Title` e `Filename` na seção dotAdmin/#/c/c Images. Recomendações: Para a versão 21.05.1 do dotCMS, como solução temporária, considere restringir o acesso à seção dotAdmin/#/c/c Images até que uma correção esteja disponível. Evite usar os parâmetros `Title` e `Filename` nesta seção com entradas não confiáveis até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.