Rskvp93

**Nome do software vulnerável e versões afetadas** Versões do Outline anteriores à 0.77.3 **Descrição** Um problema de confusão de tipos no processo de renderização do ProseMirror leva a uma vulnerabilidade de tipo Stored Cross-Site Scripting (XSS). Um usuário autenticado pode criar um documento com uma carga maliciosa de JavaScript, que pode ser executada quando outros usuários visualizam o documento. O problema pode contornar as restrições da Política de Segurança de Conteúdo (CSP) em ambientes auto-hospedados com armazenamento de arquivos no mesmo domínio. **Recomendações** Para versões anteriores à 0.77.3, atualize para a versão 0.77.3 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Microsoft Exchange anteriores à versão corrigida **Descrição** A vulnerabilidade está relacionada à validação insuficiente de entradas no componente PowerShell do Microsoft Exchange, permitindo que invasores remotos executem código arbitrário. Esse problema também está associado a uma forma de escalonamento de privilégios conhecida como TabShell, que permite sair da sandbox restrita do PowerShell após obter acesso por meio do OWASSRF. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Exchange Server (versões afetadas não especificadas) **Descrição** O problema está relacionado a controles de acesso insuficientes no Microsoft Exchange Server, permitindo que um invasor remoto eleve seus privilégios. Essa vulnerabilidade já foi explorada em incidentes reais, como o ataque à comissão eleitoral do Reino Unido, onde dados de aproximadamente 40 milhões de pessoas podem ter vazado. A vulnerabilidade também foi usada na violação da Rackspace, onde o grupo de ransomware Play obteve acesso inicial ao ambiente de e-mail da empresa usando uma exploração de dia zero. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Skype for Business Server (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada à falta de proteção dos dados de serviço no Skype for Business Server, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Houve relatos de uma vulnerabilidade de leitura arbitrária de arquivos em sites internos do Skype for Business e do MS Lync, afetando subdomínios como dialin, meet, lyncdiscover e sip. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Skype for Business Server (versões afetadas não especificadas) Lync (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação das informações pela interface do usuário no Skype for Business Server. Isso pode permitir que um invasor remoto realize ataques de falsificação de identidade. **Recomendações** Para o Skype for Business Server, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para o Lync, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Dynamics 365 (versões afetadas não especificadas) **Descrição** O problema está relacionado à proteção insuficiente da estrutura da página da web no Microsoft Dynamics 365, permitindo ataques de cross-site scripting. Um invasor poderia explorar essa vulnerabilidade para realizar ataques remotos de cross-site scripting. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft SharePoint Server (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário. Isso pode permitir que um invasor remoto realize um ataque de falsificação de identidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft SharePoint (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de spoofing no Microsoft SharePoint. Está associado a erros na exibição de informações da interface do usuário. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize ataques de spoofing usando uma solicitação especialmente criada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CPUs Modicon M340 em versões anteriores à V3.40 Módulos de comunicação Ethernet Modicon M340 X80 (todas as versões) Processadores Modicon Premium com Ethernet integrada (todas as versões) Processadores Modicon Quantum com Ethernet integrada (todas as versões) Módulos de comunicação Modicon Quantum (todas as versões) Módulos de comunicação Modicon Premium (todas as versões) **Descrição** O problema está relacionado a um estouro de buffer no software dos controladores lógicos programáveis. Um invasor pode explorar essa vulnerabilidade enviando solicitações HTTP especialmente criadas, o que pode causar uma negação de serviço. **Recomendações** Para CPUs Modicon M340 com versões anteriores à V3.40, atualize para a versão V3.40 ou posterior. Para os módulos de comunicação Ethernet Modicon M340 X80, restrinja o acesso ao servidor web até que um patch esteja disponível. Para os processadores Modicon Premium com Ethernet integrada, considere desativar a funcionalidade do servidor HTTP até que uma correção seja fornecida. Para os processadores Modicon Quantum com Ethernet integrada, evite usar os módulos de comunicação vulneráveis até que uma atualização seja lançada. Para os módulos de comunicação Modicon Quantum e os módulos de comunicação Modicon Premium, limite a exposição à rede desses módulos até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Microsoft Dynamics Business Central (versões afetadas não especificadas) Microsoft Dynamics NAV (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (cross-site scripting) no Microsoft Dynamics Business Central e no Microsoft Dynamics NAV. Essa vulnerabilidade se deve à proteção inadequada da estrutura da página da web. Um invasor poderia explorar essa vulnerabilidade para realizar um ataque de script entre sites remotamente. **Recomendações** Para o Microsoft Dynamics Business Central, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para o Microsoft Dynamics NAV, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Dynamics Business Central (versões afetadas não especificadas) Microsoft Dynamics NAV (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página da web no Microsoft Dynamics 365 Business Central e no Microsoft Dynamics NAV, permitindo ataques de cross-site scripting. Um invasor poderia explorar essa vulnerabilidade usando um link malicioso especialmente criado para realizar ataques remotos de cross-site scripting. **Recomendações** Para o Microsoft Dynamics Business Central, atualize para uma versão que inclua correções para vulnerabilidades de cross-site scripting. Para o Microsoft Dynamics NAV, aplique alterações de configuração para proteger contra ataques de script entre sites, como a validação de entradas do usuário e a codificação de saídas. Como solução alternativa temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Microsoft Exchange Server (versões afetadas não especificadas) **Descrição** O problema está relacionado ao gerenciamento incorreto da geração de código no Microsoft Exchange Server, permitindo que invasores remotos executem código arbitrário. Isso pode ser explorado por invasores para obter acesso não autorizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft SharePoint Server (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações da interface do usuário no Microsoft SharePoint Enterprise Server. Isso permite que um invasor remoto execute um ataque de spoofing, afetando potencialmente o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Azure DevOps Server e Team Foundation Services (versões afetadas não especificadas) **Descrição** O problema está relacionado ao gerenciamento incorreto da geração de código no Azure DevOps Server e no Team Foundation Server. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a confidencialidade e a integridade das informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Microsoft Dynamics 365 (local) (versões afetadas não especificadas) Descrição: O problema está relacionado à falha na proteção da estrutura da página da web no Microsoft Dynamics 365, permitindo possíveis ataques de script entre sites. Um invasor poderia explorar essa vulnerabilidade para realizar ações remotas. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Microsoft Dynamics 365 (local) (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de cross-site scripting devido à sanitização inadequada de solicitações web especialmente criadas. Um invasor autenticado poderia explorar essa vulnerabilidade enviando uma solicitação maliciosa, permitindo ataques de cross-site scripting nos sistemas afetados. Isso poderia permitir que o invasor lesse conteúdo não autorizado, usasse a identidade da vítima para realizar ações no Dynamics Server e injetasse conteúdo malicioso no navegador do usuário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Microsoft SharePoint Server (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de cross-site scripting devido à sanitização inadequada de solicitações da Web especialmente criadas. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting, possibilitando que ele lesse conteúdo não autorizado, usasse a identidade da vítima para realizar ações no site do SharePoint, alterasse permissões, excluísse conteúdo e injetasse conteúdo malicioso no navegador do usuário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do plugin CKEditor 4 WSC até a 5.5.7.5 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos executem scripts web arbitrários dentro de um elemento IFRAME, injetando um elemento HTML malicioso no editor. **Recomendações** Para as versões do plugin CKEditor 4 WSC até a 5.5.7.5, considere desativar o plugin WSC até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS.