Scott Goodwin

**Nome do software vulnerável e versões afetadas: LeoStream Connection Broker versões 9.x anteriores à 9.0.34.3 Descrição: A vulnerabilidade permite um ataque XSS refletido sem autenticação por meio do endpoint da API “/index.pl”, especificamente através do parâmetro `user`. Isso afeta produtos que não são mais suportados pelo mantenedor. Recomendações: Para versões anteriores à 9.0.34.3, como solução temporária, considere restringir o acesso ao endpoint da API “/index.pl” para minimizar o risco de exploração. Evite usar o parâmetro `user` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Citrix XenApp versão 6.5 **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado determine se um usuário existe no servidor quando a autenticação de dois fatores (2FA) está ativada. Isso ocorre porque a página de erro da 2FA só é exibida após a inserção de um nome de usuário válido. Os produtos afetados por este problema não são mais suportados pelo mantenedor. **Recomendações** Para o Citrix XenApp versão 6.5, como o produto não é mais suportado, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Aplicativo web Mitel ShoreTel Conference, versões 19.50.1000.0 até as versões anteriores ao MiVoice Connect 18.7 SP2 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos injetem JavaScript e HTML arbitrários por meio do PATH INFO em “home.php”. Isso permite que invasores executem scripts maliciosos no lado do cliente, podendo levar a ações não autorizadas ou exposição de dados. **Recomendações** Para as versões 19.50.1000.0 até as versões anteriores ao MiVoice Connect 18.7 SP2, atualize para o MiVoice Connect 18.7 SP2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “home.php” para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** IP Office Application Server versions 11.x **Description** A Cross-Site Scripting (XSS) issue in the WebUI component could allow unauthorized code execution and potentially disclose sensitive information. **Recommendations** For versions 11.x, update to a version that includes the fix for this issue, as all versions within this range are affected.