Shiga Takuma

**Nome do Software Vulnerável e Versões Afetadas** Yahoo! Shopping App para Android versões anteriores à 14.15.0 **Descrição** Autorização inadequada no manipulador de um esquema de URL personalizado no Yahoo! Shopping App para Android pode permitir que um atacante remoto e não autenticado redirecione um usuário para um site arbitrário. Isso pode resultar em um ataque de phishing. **Recomendações** Atualize o Yahoo! Shopping App para Android para a versão 14.15.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Aplicativo Rakuten Ichiba para Android, versões 12.4.0 e anteriores Aplicativo Rakuten Ichiba para iOS, versões 11.7.0 e anteriores **Descrição** O problema diz respeito à autorização inadequada no manipulador do esquema de URL personalizado, permitindo que um site arbitrário seja exibido no WebView do produto por meio de Intent de outro aplicativo instalado no dispositivo do usuário. Isso pode resultar no redirecionamento do usuário para um site não autorizado, levando potencialmente a um ataque de phishing. **Recomendações** Para o aplicativo Rakuten Ichiba para Android versões 12.4.0 e anteriores, atualize para uma versão posterior à 12.4.0 para resolver o problema. Para o aplicativo Rakuten Ichiba para iOS versões 11.7.0 e anteriores, atualize para uma versão posterior à 11.7.0 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de esquemas de URL personalizados no aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Aplicativo Yahoo! JAPAN para Android, versões 2.3.1 a 3.161.1 Aplicativo Yahoo! JAPAN para iOS, versões 3.2.2 a 4.109.0 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting. Se explorada, um script arbitrário pode ser executado no WebView do aplicativo Yahoo! JAPAN por meio de outro aplicativo instalado no dispositivo do usuário. **Recomendações** Para o aplicativo Yahoo! JAPAN para Android, versões 2.3.1 a 3.161.1, atualize para uma versão fora desse intervalo para resolver o problema. Para o aplicativo Yahoo! JAPAN para iOS, versões 3.2.2 a 4.109.0, atualize para uma versão fora desse intervalo para resolver o problema.

**Nome do software vulnerável e versões afetadas** Aplicativo ABEMA para Android em versões anteriores à 10.65.0 **Descrição** O problema ocorre devido à exportação incorreta de componentes do aplicativo Android, permitindo que outro aplicativo instalado no dispositivo do usuário acesse uma URL arbitrária no aplicativo ABEMA para Android por meio de Intent. Se explorada, uma página da web arbitrária pode ser exibida no aplicativo, podendo levar a ataques de phishing. **Recomendações** Para versões anteriores à 10.65.0, atualize para a versão 10.65.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de Intents para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Aplicativo Mercari para Android em versões anteriores à 5.78.0 **Descrição** O problema está relacionado a uma autorização inadequada no manipulador de um esquema de URL personalizado, permitindo que um invasor remoto leve um usuário a acessar um site arbitrário por meio do aplicativo vulnerável, o que pode resultar em um ataque de phishing. **Recomendações** Para o aplicativo Mercari para Android em versões anteriores à 5.78.0, atualize para a versão 5.78.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de esquemas de URL personalizados dentro do aplicativo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Drupal (versões afetadas não especificadas) **Descrição** O problema está relacionado ao tratamento inadequado de elementos estruturais, o que pode levar a uma condição de negação de serviço (DoS) se explorado por um invasor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists in the event handlers of the `pre` tags. If exploited, an arbitrary script may be executed on the web browser of the user who accessed the site using the product. **Recommendations** For GROWI versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider disabling the event handlers of the `pre` tags until a patch is available. Restrict access to the `pre` tags to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions 4.6.0 through 4.7.6 **Description** The issue is related to a Code Injection vulnerability in the mail form of baserCMS, a website development framework. This vulnerability allows malicious code to be executed in the Mail Form Feature. **Recommendations** For versions 4.6.0 through 4.7.6, update to the latest version of baserCMS to resolve the issue. As a temporary workaround, consider restricting access to the mail form feature in baserCMS until a patch is available.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions prior to 4.8.0 **Description** The issue is related to a cross-site scripting vulnerability in the file upload feature of baserCMS. This vulnerability may allow malicious code to be executed. The management system is affected when used by an unspecified number of users. **Recommendations** For versions prior to 4.8.0, update to version 4.8.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the file upload feature until the update is applied.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions prior to 4.8.0 **Description** The issue concerns a Directory Traversal Vulnerability in the form submission data management feature of baserCMS. This vulnerability could allow a logged-in user to obtain information on the server. The estimated number of potentially affected devices is not specified, and there is no information about real-world incidents where this issue was exploited. **Recommendations** For versions prior to 4.8.0, update to version 4.8.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the form submission data management feature until the update is applied.

**Name of the Vulnerable Software and Affected Versions** baserCMS versions prior to 4.8.0 **Description** The issue is related to a cross-site request forgery vulnerability in the content preview feature of baserCMS. This vulnerability may allow malicious code to be executed. The vulnerability is particularly relevant when the management system is used by multiple users. **Recommendations** Update to version 4.8.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the content preview feature until the update is applied.

**Name of the Vulnerable Software and Affected Versions** pgAdmin 4 versions prior to v6.14 **Description** The issue allows a remote unauthenticated attacker to redirect a user to an arbitrary web site, potentially conducting a phishing attack by having the user access a specially crafted URL. **Recommendations** For versions prior to v6.14, update to version v6.14 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** Movable Type versões 7 r.5301 e anteriores Movable Type Advanced versões 7 r.5301 e anteriores Movable Type versões 6.8.7 e anteriores Movable Type Advanced versões 6.8.7 e anteriores Movable Type Premium versão 1.53 e anteriores Movable Type Premium Advanced versão 1.53 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto não autenticado injete um script arbitrário. **Recomendações** Para as versões 7 r.5301 e anteriores do Movable Type, atualize para uma versão posterior à 7 r.5301. Para as versões 7 r.5301 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 7 r.5301. Para as versões 6.8.7 e anteriores do Movable Type, atualize para uma versão posterior à 6.8.7. Para as versões 6.8.7 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 6.8.7. Para o Movable Type Premium versão 1.53 e anteriores, atualize para uma versão posterior à 1.53. Para o Movable Type Premium Advanced versão 1.53 e anteriores, atualize para uma versão posterior à 1.53.

**Nome do software vulnerável e versões afetadas** Movable Type versões 7 r.5301 e anteriores Movable Type Advanced versões 7 r.5301 e anteriores Movable Type versões 6.8.7 e anteriores Movable Type Advanced versões 6.8.7 e anteriores Movable Type Premium versões 1.53 e anteriores Movable Type Premium Advanced versões 1.53 e anteriores **Descrição** O problema está relacionado à validação inadequada da correção sintática da entrada, o que pode ser explorado por um invasor remoto não autenticado. Ao fazer com que um usuário acesse uma URL especialmente criada, um invasor pode definir uma URL especialmente criada para a página de redefinição de senha, permitindo-lhe realizar um ataque de phishing. **Recomendações** Para as versões 7 r.5301 e anteriores do Movable Type, atualize para uma versão posterior à r.5301. Para as versões 7 r.5301 e anteriores do Movable Type Advanced, atualize para uma versão posterior à r.5301. Para as versões 6.8.7 e anteriores do Movable Type, atualize para uma versão posterior à 6.8.7. Para as versões 6.8.7 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 6.8.7. Para as versões 1.53 e anteriores do Movable Type Premium, atualize para uma versão posterior à 1.53. Para as versões 1.53 e anteriores do Movable Type Premium Advanced, atualize para uma versão posterior à 1.53.

**Nome do software vulnerável e versões afetadas** SHIRASAGI, versões 1.14.4 a 1.15.0 **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado redirecione usuários para um site arbitrário, podendo realizar um ataque de phishing. **Recomendações** Para as versões 1.14.4 a 1.15.0 do SHIRASAGI, considere restringir o acesso a recursos confidenciais até que uma correção esteja disponível. Como solução temporária, evite usar links de fontes não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do SHIRASAGI anteriores à v1.16.2 **Descrição** Uma vulnerabilidade de cross-site scripting armazenada permite que um invasor remoto autenticado com privilégios administrativos injete um script arbitrário. **Recomendações** Para versões anteriores à v1.16.2, atualize para a versão v1.16.2 ou posterior para resolver o problema.