Slash0X99

**Nome do Software Vulnerável e Versões Afetadas** GFI KerioConnect versão 10.0.6 **Descrição** Foi identificada uma vulnerabilidade no componente Signature Handler do GFI KerioConnect, afetando o processamento do arquivo Settings/Email/Signature/EditHtmlSource. Este problema resulta em cross-site scripting e pode ser explorado remotamente. O exploit foi divulgado publicamente. **Recomendações** Para o GFI KerioConnect versão 10.0.6, como medida de contorno temporária, considere restringir o acesso ao componente Signature Handler, especificamente à função EditHtmlSource, até que uma correção esteja disponível. Evite utilizar a função `EditHtmlSource` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** GFI KerioConnect versão 10.0.6 **Descrição** Uma vulnerabilidade foi encontrada no componente PDF File Handler, que pode levar a cross-site scripting. O ataque pode ser executado remotamente. O problema afeta uma funcionalidade desconhecida deste componente. **Recomendações** Para o GFI KerioConnect versão 10.0.6, como medida temporária, considere desativar o componente PDF File Handler até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Roxy-WI até a 8.1.3 **Descrição** Um problema crítico foi encontrado no Roxy-WI, afetando a função `action service` do arquivo `app/modules/roxywi/roxy.py`. A manipulação do argumento `action/service` resulta em injeção de comandos do sistema operacional. Este problema pode ser explorado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões do Roxy-WI até a 8.1.3, atualize para a versão 8.1.4 para corrigir este problema. Como solução temporária (workaround), considere restringir o acesso à função `action service` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do eNMS até a 4.2 **Descrição** Foi encontrada uma falha crítica na função `multiselect filtering` do arquivo eNMS/controller.py do componente TGZ File Handler. A manipulação leva a um traversal de caminho. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Aplique um patch para corrigir este problema, especificamente o patch identificado como 22b0b443acca740fc83b5544165c1f53eff3f529. Como solução temporária, considere desativar a função `multiselect filtering` até que um patch esteja disponível. Restrinja o acesso ao componente TGZ File Handler para minimizar o risco de exploração.