Ramon Dunker

Name of the Vulnerable Software and Affected Versions Pega Robotic Automation versões 22.1 e R25 Description Existe uma falha de segurança no Pega Browser Extension (PBE) que pode permitir que um invasor crie um site malicioso contendo código prejudicial. Se um usuário Robot Runtime visitar este site, uma gravação arbitrária de arquivo pode ocorrer. Recommendations Atualize o Pega Robotic Automation para uma versão mais recente que resolva este problema. Como medida temporária, evite navegar em sites não confiáveis ​​ao usar o Robot Runtime.

**Name of the Vulnerable Software and Affected Versions** Pega Robotic Automation (versões afetadas não especificadas) **Description** Um problema de host de mensagens nativas existe na Extensão do Navegador Pega (PBE), afetando usuários de todas as versões do Pega Robotic Automation com a extensão instalada. Um agente malicioso pode criar um site contendo código que visa o PBE. Se um usuário visitar este site, ele poderá apresentar uma caixa de mensagem inesperada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Pega Browser Extension versions 22.1 and R25 **Description** A flaw exists in Pega Browser Extension that could allow a malicious actor to create a website containing harmful code. This issue impacts Pega Robot Studio developers automating Google Chrome and Microsoft Edge during interrogation mode. Exploitation requires deceiving a developer into visiting a compromised website. The vulnerability does not affect Robot Runtime users. **Recommendations** Update Pega Browser Extension to a newer version that addresses this issue.

**Nome do software vulnerável e versões afetadas** Versões do tema Newspaper para WordPress anteriores à 12 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido (XSS). Ele ocorre porque um parâmetro não é devidamente sanitizado antes de ser retornado em um atributo HTML por meio de uma ação AJAX. Isso pode ser explorado, e há relatos de que a vulnerabilidade foi utilizada em incidentes reais, incluindo uma combinação de XSS baseado em POST e CSRF, com a divulgação adicional do caminho absoluto do servidor web. **Recomendações** Para versões anteriores à 12, atualize para a versão 12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX que exibe o parâmetro não sanitizado para minimizar o risco de exploração.