Rodolfo Tavares

**Nome do software vulnerável e versões afetadas** Versões do Bruno anteriores à 1.29.1 **Descrição** O problema decorre do uso, pelo Bruno, da função `shell.openExternal` do Electron sem a devida validação de URLs, especificamente `http` ou `https`, ao abrir janelas dentro do visualizador de documentos Markdown. Essa falta de validação pode levar ao tratamento de URLs não validados. **Recomendações** Para versões anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso da função `shell.openExternal` do Electron no visualizador de documentos Markdown até que um patch esteja disponível. Restrinja o acesso ao visualizador de documentos Markdown para minimizar o risco de exploração. Evite usar URLs não validados no visualizador afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Lumisxp 15.0.x a 16.1.x **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente XsltResultControllerHtml.jsp permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `lumPageID`. **Recomendações** Para as versões 15.0.x a 16.1.x do Lumisxp, considere restringir o acesso ao componente XsltResultControllerHtml.jsp até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `lumPageID` no componente afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Lumisxp 15.0.x a 16.1.x **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente UrlAccessibilityEvaluation.jsp permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `contentHtml`. **Recomendações** Para as versões 15.0.x a 16.1.x do Lumisxp, considere restringir o acesso ao componente UrlAccessibilityEvaluation.jsp até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `contentHtml` no componente afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Lumisxp 15.0.x a 16.1.x **Descrição** Uma vulnerabilidade de script entre sites (XSS) no componente main.jsp permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `pageId`. **Recomendações** Para as versões 15.0.x a 16.1.x do Lumisxp, considere restringir o acesso ao componente main.jsp até que uma correção esteja disponível e evite usar o parâmetro `pageId` na página afetada até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** Versões do Lumisxp 15.0.x a 16.1.x **Descrição** Um ID privilegiado codificado de forma rígida permite que invasores contornem a autenticação e acessem páginas internas e outras informações confidenciais. **Recomendações** Para as versões 15.0.x a 16.1.x do Lumisxp, considere restringir temporariamente o acesso a páginas internas até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o ID privilegiado codificado nos processos de autenticação até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin Migration, Backup, Staging para WordPress anteriores à 0.9.76 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados leiam qualquer arquivo do servidor web por meio de um ataque de traversal, devido ao fato de o plugin não sanitizar e validar um parâmetro antes de usá-lo para ler o conteúdo de um arquivo. **Recomendações** Para versões anteriores à 0.9.76, atualize para a versão 0.9.76 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos confidenciais no servidor web até que a atualização seja aplicada.