Renato Cruz

**Nome do software vulnerável e versões afetadas** Active Intelligent Visualization versão 5 **Descrição** Foi detectada uma falha em que o cabeçalho Vdc é utilizado em uma consulta SQL sem ser sanitizado, causando injeção de SQL. **Recomendações** Para o Active Intelligent Visualization versão 5, considere sanitizar o cabeçalho Vdc nas consultas SQL para evitar injeção de SQL até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso a consultas SQL que utilizem o cabeçalho Vdc para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Delta RM versão 1.2 **Descrição** Uma falha permite que um usuário sem privilégios acesse as mesmas informações que um usuário administrador em relação à criação de riscos. Isso é possível através do endpoint “/risque/administration/referentiel/json/create/categorie”, utilizando o parâmetro de consulta `id cat1` para indicar o risco. **Recomendações** Para o Delta RM versão 1.2, como solução temporária, considere restringir o acesso ao endpoint “/risque/administration/referentiel/json/create/categorie” até que uma correção esteja disponível. Evite usar o parâmetro de consulta `id cat1` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Delta RM versão 1.2 **Descrição** Foi detectada uma falha no software em que o endpoint “/risque/risque/workflow/reset” carece de controles de acesso. Isso permite que um usuário sem privilégios reabra um risco enviando uma solicitação POST e utilizando o parâmetro `risqueID` para especificar o risco a ser reaberto. **Recomendações** Para o Delta RM versão 1.2, considere desativar o acesso ao endpoint “/risque/risque/workflow/reset” até que uma correção esteja disponível para adicionar controles de acesso adequados. Como solução alternativa temporária, restrinja o uso do parâmetro `risqueID` neste endpoint para impedir a reabertura não autorizada de riscos.

**Nome do software vulnerável e versões afetadas** Delta RM versão 1.2 **Descrição** Foi descoberta uma falha que permite aos usuários acessar os riscos de outras empresas. Isso é feito utilizando o endpoint “/risque/risque/ajax-details” com uma solicitação POST, especificando o risco a ser acessado com o parâmetro `id`. **Recomendações** Para o Delta RM versão 1.2, como solução temporária, considere restringir o acesso ao endpoint “/risque/risque/ajax-details” até que uma correção esteja disponível. Evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Delta RM versão 1.2 **Descrição** Foi descoberta uma falha que permite solicitar uma nova senha para qualquer outra conta usando o ID da conta. Um usuário pode enviar uma matriz JSON com IDs de usuário para o endpoint “/listes/DTsendmaildata/adm utilisateur/send-mail.json”, o que redefinirá as senhas e enviará novas senhas para os respectivos endereços de e-mail. **Recomendações** Para o Delta RM versão 1.2, como solução temporária, considere restringir o acesso ao endpoint “/listes/DTsendmaildata/adm utilisateur/send-mail.json” até que um patch esteja disponível. Evite usar este endpoint para enviar solicitações de redefinição de senha para outras contas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Delta RM versão 1.2 **Descrição** Foi detectada uma falha no Delta RM que permite que um invasor com uma conta privilegiada edite, crie e exclua rótulos de risco, incluindo rótulos de indicação de criticidade e prioridade. Isso pode ser feito usando o endpoint “/core/table/query” com uma solicitação POST, especificando a etiqueta afetada com o parâmetro `tableUid` e a operação com `datas[query]`. As etiquetas vulneráveis incluem Indicação de Prioridade, Avaliação de Qualidade, Margem de Progresso e Prioridade. Além disso, é possível exportar etiquetas de Criticidade com um usuário sem privilégios. **Recomendações** Para a versão 1.2 do Delta RM, considere restringir o acesso ao endpoint “/core/table/query” para impedir modificações não autorizadas nas etiquetas de risco. Como solução alternativa temporária, limite o uso do parâmetro `tableUid` e de `datas[query]` para minimizar o risco de exploração. Evite usar o parâmetro `tableUid` e `datas[query]` com usuários sem privilégios para impedir a exportação de rótulos de criticidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.