Rafal Lykowski

**Nome do software vulnerável e versões afetadas** Cisco Identity Services Engine (ISE) (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade em comandos específicos da CLI (Interface de Linha de Comando) poderia permitir que um invasor local autenticado realizasse ataques de injeção de comando no sistema operacional subjacente e elevasse seus privilégios ao nível de root. Isso se deve à validação insuficiente das entradas fornecidas pelo usuário. Um invasor poderia explorar essa vulnerabilidade enviando um comando CLI malicioso. Uma exploração bem-sucedida poderia permitir que o invasor elevasse seus privilégios ao nível de root. O invasor deve ter privilégios de administrador válidos em um dispositivo afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: VMware Cloud Director Availability (versões afetadas não especificadas) Descrição: O problema está relacionado a uma vulnerabilidade de injeção de HTML. Um agente mal-intencionado com acesso à rede do VMware Cloud Director Availability pode criar tags HTML maliciosas para serem executadas em tarefas de replicação, possibilitando potencialmente ataques de cross-site scripting (XSS) por meio da injeção dessas tags. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: VMware Cloud Director Object Storage Extension (versões afetadas não especificadas) Descrição: O problema diz respeito a uma inserção de informações confidenciais, em que um agente mal-intencionado com acesso adjacente aos registros do servidor web/proxy pode obter informações confidenciais a partir de URLs registrados. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas devido à proteção insuficiente dos dados do serviço. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Liferay Digital Experience Platform versão 7.3.10 SP3 **Descrição** Existe uma vulnerabilidade de tipo Cross-site scripting (XSS) na funcionalidade de upload de arquivos do módulo Document and Media, permitindo que invasores remotos injetem scripts JS ou HTML arbitrários no campo de descrição de arquivos SVG enviados. **Recomendações** Para a Liferay Digital Experience Platform versão 7.3.10 SP3, considere restringir o acesso à funcionalidade de upload de arquivos no módulo Document and Media até que uma correção esteja disponível e evite usar o campo de descrição para arquivos SVG enviados, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Liferay Digital Experience Platform versão 7.3.10 SP3 **Descrição** Uma vulnerabilidade de tipo Cross-site scripting (XSS) na funcionalidade de adição de novos tópicos do módulo Blog permite que invasores remotos injetem scripts JS ou HTML arbitrários no campo de nome de tópicos recém-criados. **Recomendações** Para a Liferay Digital Experience Platform versão 7.3.10 SP3, considere restringir o acesso à funcionalidade “Adicionar novo tópico” do módulo Blog até que uma correção esteja disponível. Como solução alternativa temporária, restrinja a capacidade de injetar scripts JS ou HTML arbitrários no campo de nome de tópicos recém-criados.

**Nome do software vulnerável e versões afetadas** Versões do eLabFTW anteriores à 4.0.0 **Descrição** Esta vulnerabilidade afeta um caderno de laboratório eletrônico de código aberto destinado a laboratórios de pesquisa, permitindo que um invasor faça solicitações GET em nome do servidor. O ataque é “cego” porque o invasor não consegue ver o resultado da solicitação. **Recomendações** Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 para resolver o problema.