Sai Cheng

**Nome do software vulnerável e versões afetadas: Versões 2.4.4-p2 e anteriores do pfSense Descrição: Foi detectada uma vulnerabilidade de Cross-Site Scripting (XSS) autenticada na interface gráfica do usuário (WebGUI) do software pfSense. O parâmetro `descr` (descrição) das entradas wake-on-LAN no componente widgets/widgets/wake on lan widget.php não estava codificado corretamente, levando a um possível XSS armazenado. Recomendações: Para as versões 2.4.4-p2 e anteriores, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de evitar uma possível exploração.

**Nome do software vulnerável e versões afetadas** Serviço de Experiências do Usuário Conectado e Telemetria (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de negação de serviço devido à falha do Serviço de Experiências do Usuário Conectado e Telemetria em validar adequadamente determinados valores de função. Um invasor que explorar essa vulnerabilidade com sucesso poderá impedir o funcionamento de recursos de segurança dependentes. Para explorar a vulnerabilidade, o invasor deve fazer login em um sistema afetado e executar um aplicativo especialmente criado para esse fim. O problema está relacionado à validação insuficiente de permissões para um recurso crítico. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Windows (versões afetadas não especificadas) **Descrição** O problema está relacionado ao tratamento incorreto de objetos na memória pelo Serviço de Instalação do ActiveX nos sistemas operacionais Windows. Isso pode ser explorado por um invasor que utilize um aplicativo especialmente criado para elevar seus privilégios. A vulnerabilidade permite que invasores comprometam o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.