Sajibe Kanti

**Nome do Software Vulnerável e Versões Afetadas** ERPGo SaaS versão 3.9 **Descrição** Existe um problema onde atacantes autenticados podem executar código arbitrário injetando cargas de fórmulas em campos de nome de fornecedor. Isso ocorre quando fórmulas maliciosas são inseridas no formulário de criação de fornecedor e, posteriormente, executadas quando o arquivo CSV exportado é aberto em aplicativos de planilha. **Recomendações** Como medida paliativa temporária, restrinja o uso do formulário de criação de fornecedor ou sanitize as entradas no campo de nome do fornecedor para evitar o uso de caracteres de fórmula até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** AmazCart CMS versão 3.4 **Descrição** Uma falha de cross-site scripting refletido permite que atacantes não autenticados injetem scripts maliciosos por meio da funcionalidade de busca. Ao inserir tags de script na caixa de pesquisa, os atacantes podem executar JavaScript arbitrário quando os resultados da busca são exibidos ou quando o histórico de busca é visualizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Netis WF2419 version 3.2.41381 **Description** The issue allows for XSS via the Description field on the MAC Filtering page. **Recommendations** For Netis WF2419 version 3.2.41381, consider restricting access to the MAC Filtering page until a fix is available. As a temporary workaround, avoid using the Description field on the MAC Filtering page to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Mahara versions 15.04 through 15.04.9 Mahara versions 15.10 through 15.10.5 Mahara versions 16.04 through 16.04.3 **Description** The issue arises from incorrect access control after a password reset link is sent via email and the user changes their default email. Mahara fails to invalidate the old link, allowing the link in the email to be used to gain access to the user's account. **Recommendations** For Mahara versions 15.04 through 15.04.9, update to version 15.04.10 or later. For Mahara versions 15.10 through 15.10.5, update to version 15.10.6 or later. For Mahara versions 16.04 through 16.04.3, update to version 16.04.4 or later.