Saleh Elsayed

**Nome do Software Vulnerável e Versões Afetadas** Cisco Webex Meetings (versões afetadas não especificadas) **Descrição** A validação insuficiente de entrada de usuário na interface de usuário baseada na web permite que um invasor remoto não autenticado realize um ataque de cross-site scripting (XSS). Um invasor poderia explorar isso persuadindo um usuário a seguir um link malicioso, levando à execução de código de script arbitrário no navegador do usuário ou ao acesso não autorizado a informações confidenciais baseadas no navegador. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** FluentCRM – Email Newsletter, Automation, Email Marketing, Email Campaigns, Optins, Leads, and CRM Solution versões anteriores a 2.9.88 **Descrição** O plugin é suscetível a Blind Server-Side Request Forgery (SSRF), uma falha onde um invasor pode forçar o servidor a fazer requisições HTTP para um destino arbitrário. Isso pode ser explorado por invasores não autenticados através do parâmetro `SubscribeURL` para consultar ou modificar informações de serviços internos. Este problema só é explorável se a chave de tratamento de bounce do SES ` fc bounce key` não tiver sido armazenada, o que ocorre quando o site está em seu estado padrão ou não configurado em relação ao tratamento de bounce do SES. Se a página de configuração de bounce for visitada, uma chave aleatória é gerada e armazenada, o que impede requisições não autenticadas. **Recomendações** Atualize para uma versão posterior a 2.9.87. Como mitigação temporária, certifique-se de que a página de configuração de bounce do SES seja visitada para gerar e armazenar a ` fc bounce key`.