Simon Holl

**Nome do Software Vulnerável e Versões Afetadas** Versões do SUSE Manager anteriores a 0.3.7-150600.3.6.2 Versões do SUSE Manager anteriores a 5.0.14-150600.4.17.1 Versões da Imagem SLES15-SP4-Manager-Server-4-3-BYOS anteriores a 4.3.33-150400.3.55.2 Versões da Imagem SLES15-SP4-Manager-Server-4-3-BYOS-Azure anteriores a 4.3.33-150400.3.55.2 Versões da Imagem SLES15-SP4-Manager-Server-4-3-BYOS-EC2 anteriores a 4.3.33-150400.3.55.2 Versões da Imagem SLES15-SP4-Manager-Server-4-3-BYOS-GCE anteriores a 4.3.33-150400.3.55.2 Versões do Módulo do Servidor SUSE Manager 4.3 anteriores a 0.3.7-150400.3.39.4 Versões do Módulo do Servidor SUSE Manager 4.3 anteriores a 4.3.33-150400.3.55.2 **Descrição** Uma verificação de autenticação ausente para funções críticas no SUSE Manager permite que atacantes não autenticados com acesso ao websocket em `/rhn/websocket/minion/remote-commands` executem comandos arbitrários como root. **Recomendações** Atualize o SUSE Manager para a versão 0.3.7-150600.3.6.2 ou superior. Atualize o SUSE Manager para a versão 5.0.14-150600.4.17.1 ou superior. Atualize a Imagem SLES15-SP4-Manager-Server-4-3-BYOS para a versão 4.3.33-150400.3.55.2 ou superior. Atualize a Imagem SLES15-SP4-Manager-Server-4-3-BYOS-Azure para a versão 4.3.33-150400.3.55.2 ou superior. Atualize a Imagem SLES15-SP4-Manager-Server-4-3-BYOS-EC2 para a versão 4.3.33-150400.3.55.2 ou superior. Atualize a Imagem SLES15-SP4-Manager-Server-4-3-BYOS-GCE para a versão 4.3.33-150400.3.55.2 ou superior. Atualize o Módulo do Servidor SUSE Manager 4.3 para a versão 0.3.7-150400.3.39.4 ou superior. Atualize o Módulo do Servidor SUSE Manager 4.3 para a versão 4.3.33-150400.3.55.2 ou superior.

**Nome do software vulnerável e versões afetadas** Versões do ORDAT FOSS-Online anteriores à 2.24.01 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL na função “Esqueci minha senha”. **Recomendações** Para versões anteriores à 2.24.01, atualize para a versão 2.24.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função “Esqueci minha senha” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do ORDAT FOSS-Online anteriores à 2.24.01 **Descrição** Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) refletido na página de login do ORDAT FOSS-Online. Esse problema permite a execução de scripts maliciosos, podendo levar a acesso não autorizado ou roubo de dados. A vulnerabilidade é explorada por meio da página de login, mas não são fornecidos detalhes específicos sobre pontos de extremidade da API, parâmetros vulneráveis ou nomes de funções. **Recomendações** Para versões anteriores à 2.24.01, atualize para a versão 2.24.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de login até que a atualização possa ser aplicada. Evite usar a funcionalidade de login de forma que possa potencialmente explorar a vulnerabilidade de XSS refletido até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do ORDAT FOSS-Online anteriores à 2.24.01 **Descrição** Existe uma falha de enumeração de usuários, permitindo que invasores determinem se uma conta existe na aplicação ao comparar as respostas do servidor da funcionalidade de recuperação de senha. **Recomendações** Para versões anteriores à 2.24.01, atualize para a versão 2.24.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de recuperação de senha até que um patch esteja disponível.