Rikuto Tauchi

Nome do Software Vulnerável e Versões Afetadas: Versões do Group-Office anteriores a 6.8.119 Versões do Group-Office anteriores a 25.0.20 Descrição: O Group-Office está suscetível a um problema de cross-site scripting. A exploração bem-sucedida deste problema poderia permitir a execução de scripts arbitrários no navegador web de um usuário. Recomendações: Atualize o Group-Office para a versão 6.8.119 ou superior. Atualize o Group-Office para a versão 25.0.20 ou superior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Group-Office anteriores a 6.8.119 Versões do Group-Office anteriores a 25.0.20 Descrição: O Group-Office está suscetível a uma vulnerabilidade de path traversal. A exploração deste problema pode levar à exposição de informações no servidor que hospeda o produto. Recomendações: Atualize o Group-Office para a versão 6.8.119 ou posterior. Atualize o Group-Office para a versão 25.0.20 ou posterior.

Name of the Vulnerable Software and Affected Versions: LuxCal Web Calendar versions prior to 5.3.3M (MySQL version) LuxCal Web Calendar versions prior to 5.3.3L (SQLite version) Description: The issue concerns an SQL injection vulnerability in the retrieve.php file. If exploited, this vulnerability may allow information in a database to be deleted, altered, or retrieved. Recommendations: For versions prior to 5.3.3M (MySQL version), update to version 5.3.3M or later. For versions prior to 5.3.3L (SQLite version), update to version 5.3.3L or later. As a temporary workaround, consider restricting access to the retrieve.php file until a patch is applied.

Nome do Software Vulnerável e Versões Afetadas: Versões do LuxCal Web Calendar anteriores à 5.3.3M (versão MySQL) Versões do LuxCal Web Calendar anteriores à 5.3.3L (versão SQLite) Descrição: O problema trata de uma vulnerabilidade de injeção de SQL no arquivo pdf.php. Se explorada, esta vulnerabilidade pode permitir que informações em um banco de dados sejam excluídas, alteradas ou recuperadas. Recomendações: Para versões anteriores à 5.3.3M (versão MySQL), atualize para a versão 5.3.3M ou posterior. Para versões anteriores à 5.3.3L (versão SQLite), atualize para a versão 5.3.3L ou posterior. Como medida paliativa temporária, considere restringir o acesso ao arquivo pdf.php até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões 3.0.x a 3.0.31 do a-blog cms Versões 3.1.x a 3.1.11 do a-blog cms **Descrição** Existe uma vulnerabilidade de injeção de código que permite que um usuário com privilégios de administrador ou superiores, capaz de fazer login no produto, execute um comando arbitrário no servidor caso a vulnerabilidade seja explorada. **Recomendações** Para as versões 3.0.x a 3.0.31, atualize para a versão 3.0.32 ou posterior. Para as versões 3.1.x a 3.1.11, atualize para a versão 3.1.12 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do a-blog cms anteriores à 3.1.12 Versões do a-blog cms anteriores à 3.0.32 Versões do a-blog cms anteriores à 2.11.61 Versões do a-blog cms anteriores à 2.10.53 Versão 2.9 e anteriores do a-blog cms **Descrição** Existe uma vulnerabilidade de cross-site scripting no a-blog cms. Se essa vulnerabilidade for explorada, um usuário com privilégios de colaborador ou superiores, capaz de fazer login no produto, poderá executar um script arbitrário no navegador do usuário que acessou o site utilizando o produto. **Recomendações** Para versões anteriores à 3.1.12, atualize para a versão 3.1.12 ou posterior. Para versões anteriores à 3.0.32, atualize para a versão 3.0.32 ou posterior. Para versões anteriores à 2.11.61, atualize para a versão 2.11.61 ou posterior. Para versões anteriores à 2.10.53, atualize para a versão 2.10.53 ou posterior. Para a versão 2.9 e anteriores, atualize para uma versão posterior.

**Nome do software vulnerável e versões afetadas** Versões do a-blog cms anteriores à 3.1.12 Versões do a-blog cms anteriores à 3.0.32 Versões do a-blog cms anteriores à 2.11.61 Versões do a-blog cms anteriores à 2.10.53 Versão 2.9 e anteriores do a-blog cms **Descrição** Existe uma vulnerabilidade de traversal de diretório no a-blog cms, permitindo que um usuário com privilégios de editor ou superiores, capaz de fazer login no produto, obtenha arquivos arbitrários no servidor caso a vulnerabilidade seja explorada. **Recomendações** Para versões anteriores à 3.1.12, atualize para a versão 3.1.12 ou posterior. Para versões anteriores à 3.0.32, atualize para a versão 3.0.32 ou posterior. Para versões anteriores à 2.11.61, atualize para a versão 2.11.61 ou posterior. Para versões anteriores à 2.10.53, atualize para a versão 2.10.53 ou posterior. Para a versão 2.9 e anteriores, atualize para uma versão posterior.

**Nome do software vulnerável e versões afetadas** Versões do a-blog cms anteriores à 3.1.12 Versões do a-blog cms anteriores à 3.0.32 Versões do a-blog cms anteriores à 2.11.61 Versões do a-blog cms anteriores à 2.10.53 Versão 2.9 e anteriores do a-blog cms **Descrição** Existe uma vulnerabilidade de cross-site scripting que permite que um usuário com privilégios de editor ou superiores, capaz de fazer login no produto, execute um script arbitrário no navegador do usuário que acessou a página de gerenciamento de agendamento. **Recomendações** Para versões anteriores à 3.1.12, atualize para a versão 3.1.12 ou posterior. Para versões anteriores à 3.0.32, atualize para a versão 3.0.32 ou posterior. Para versões anteriores à 2.11.61, atualize para a versão 2.11.61 ou posterior. Para versões anteriores à 2.10.53, atualize para a versão 2.10.53 ou posterior. Para a versão 2.9 e anteriores, atualize para uma versão posterior.

**Nome do software vulnerável e versões afetadas** Versões do Concrete CMS de 9.0.0 a 9.2.7 Versões do Concrete CMS anteriores à 8.5.16 **Descrição** O problema diz respeito a uma vulnerabilidade Stored XSS na tela de configurações de cores do calendário. Isso ocorre porque a entrada do usuário é exibida sem o escape adequado, permitindo que um administrador mal-intencionado injete JavaScript malicioso na tela de configurações de cores do calendário. Esse código malicioso pode ser executado quando os usuários acessam a página afetada. **Recomendações** Para as versões 9.0.0 a 9.2.7 do Concrete CMS, atualize para a versão 9.2.8 ou posterior. Para as versões anteriores à 8.5.16 do Concrete CMS, atualize para a versão 8.5.16 ou posterior. Como solução temporária, considere restringir o acesso à tela de configurações de cores do calendário para minimizar o risco de exploração.