Secure77

**Nome do Software Vulnerável e Versões Afetadas** NovaCHRON Zeitsysteme GmbH & Co. KG Smart Time Plus versões 8.x até 8.6 **Descrição** O problema refere-se a um controle de acesso incorreto no componente /iclock/Settings?restartNCS=1, permitindo que atacantes reiniciem arbitrariamente o NCServiceManger por meio de uma solicitação GET manipulada. **Recomendações** Para as versões 8.x até 8.6, considere desabilitar o acesso ao componente /iclock/Settings?restartNCS=1 até que um patch esteja disponível. Restrinja o acesso ao NCServiceManger para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** NovaCHRON Zeitsysteme GmbH & Co. KG Smart Time Plus versões 8.x até 8.6 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do método `addProject` no endpoint "smarttimeplus/MySQLConnection". **Recomendações** Para as versões 8.x até 8.6, considere restringir o acesso ao endpoint "smarttimeplus/MySQLConnection" até que um patch esteja disponível. Como medida temporária, evite utilizar o método `addProject` no endpoint afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** NovaCHRON Zeitsysteme GmbH & Co. KG Smart Time Plus versões 8.x até 8.6 **Descrição** Foi encontrada uma vulnerabilidade de injeção de SQL no método getCookieNames através do endpoint "smarttimeplus/MySQLConnection". **Recomendações** Para as versões 8.x até 8.6, considere desativar o método getCookieNames no endpoint smarttimeplus/MySQLConnection até que um patch esteja disponível. Restrinja o acesso ao endpoint smarttimeplus/MySQLConnection para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Metabase anteriores à 0.40.8 Versões do Metabase anteriores à 0.41.7 Versões do Metabase anteriores à 0.42.4 Versões do Metabase anteriores à 1.40.8 Versões do Metabase anteriores à 1.41.7 Versões do Metabase anteriores à 1.42.4 **Descrição** O Metabase é um aplicativo de inteligência de negócios e análise de código aberto. Ele possui um proxy para carregar URLs arbitrárias para mapas JSON como parte de seu suporte a GeoJSON. Embora seja realizada uma validação para impedir o retorno de conteúdos de URLs arbitrárias, uma solicitação especialmente criada poderia resultar em acesso a arquivos no Windows, possibilitando um `ataque de retransmissão NTLM`. Isso permite, potencialmente, que um invasor obtenha o hash da senha do sistema. **Recomendações** Para versões do Metabase anteriores à 0.40.8, atualize para a versão 0.40.8 ou superior. Para versões do Metabase anteriores à 0.41.7, atualize para a versão 0.41.7 ou superior. Para versões do Metabase anteriores à 0.42.4, atualize para a versão 0.42.4 ou superior. Para versões do Metabase anteriores à 1.40.8, atualize para a versão 1.40.8 ou superior. Para versões do Metabase anteriores à 1.41.7, atualize para a versão 1.41.7 ou superior. Para versões do Metabase anteriores à 1.42.4, atualize para a versão 1.42.4 ou superior.