Songohan22

**Nome do software vulnerável e versões afetadas: phplist versões 3.5.4 e anteriores Descrição: Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa no parâmetro `rule1` do módulo “Bounce Rules”. Recomendações: Para as versões 3.5.4 e anteriores do phplist, evite usar o parâmetro `rule1` no módulo “Bounce Rules” até que uma correção esteja disponível. Considere restringir o acesso ao módulo “Bounce Rules” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** phplist versões 3.5.4 e anteriores **Descrição** Existe uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no recurso “Importar assinantes”, permitindo que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa. **Recomendações** Para as versões 3.5.4 e anteriores do phplist, atualize para uma versão superior à 3.5.4 para resolver a vulnerabilidade.

**Nome do software vulnerável e versões afetadas: LavaLite versão 5.8.0 Descrição: Existe uma vulnerabilidade de script entre sites armazenado (XSS) no componente /admin/user/team, permitindo que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `New`. Recomendações: Para a versão 5.8.0 do LavaLite, considere desativar o acesso ao componente /admin/user/team até que uma correção esteja disponível e evite usar o parâmetro `New` neste contexto para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: LavaLite versão 5.8.0 Descrição: Existe uma vulnerabilidade de script entre sites armazenado (XSS) no componente /admin/roles/role, permitindo que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `New`. Recomendações: Para a versão 5.8.0 do LavaLite, considere restringir o acesso ao componente /admin/roles/role até que uma correção esteja disponível e evite usar o parâmetro `New` neste contexto para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: LavaLite versão 5.8.0 Descrição: Uma vulnerabilidade de script entre sites (XSS) armazenada no endpoint da API “/admin/contact/contact” permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `New`. Isso permite que os invasores possam manipular o comportamento da aplicação web. Recomendações: Para a versão 5.8.0 do LavaLite, considere desativar o acesso ao endpoint da API “/admin/contact/contact” até que uma correção esteja disponível e restrinja o uso do parâmetro `New` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: phplist versões 3.5.4 e anteriores Descrição: Uma vulnerabilidade de script entre sites (XSS) armazenada permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa no campo `Campanha`, no módulo `Enviar uma campanha`. Recomendações: Para as versões 3.5.4 e anteriores do phplist, atualize para uma versão superior à 3.5.4 para resolver a vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.60 **Descrição** A vulnerabilidade permite que invasores redirecionem usuários vítimas para sites maliciosos por meio de uma carga maliciosa inserida no painel de mensagens da Shoutbox, no componente /php-fusion/infusions/shoutbox panel/shoutbox archive.php. **Recomendações** Para a versão 9.03.60 do PHP-Fusion, considere restringir o acesso ao painel de mensagens da Shoutbox até que uma correção esteja disponível e evite usar o recurso Shoutbox com entradas não confiáveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.60 **Descrição** Uma vulnerabilidade de script entre sites (XSS) armazenada na página “/administration/setting security.php” permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa. **Recomendações** Para a versão 9.03.60 do PHP-Fusion, considere desativar o acesso à página “/administration/setting security.php” até que um patch esteja disponível. Restringir a capacidade de inserir cargas maliciosas neste contexto também pode minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** phplist versão 3.5.4 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada no módulo “Importar e-mails” permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa. **Recomendações** Para a versão 3.5.4 do phplist, considere desativar o módulo “Importar e-mails” até que uma correção esteja disponível para impedir a exploração.

**Nome do software vulnerável e versões afetadas** phplist versões 3.5.4 e anteriores **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa no parâmetro `admin` do módulo “Gerenciar administradores”. **Recomendações** Para as versões 3.5.4 e anteriores, considere desativar o módulo “Gerenciar administradores” até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de XSS armazenado.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.60 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no arquivo `/administration/settings registration.php`, permitindo que invasores autenticados executem scripts web ou HTML arbitrários por meio de uma carga maliciosa inserida no campo `Registration`. Isso pode ser explorado por um invasor remoto para executar código arbitrário usando uma carga maliciosa especialmente criada. **Recomendações** Para a versão 9.03.60 do PHP-Fusion, como solução temporária, considere desativar o acesso ao arquivo `/administration/settings registration.php` até que um patch esteja disponível. Restrinja o acesso ao campo `Registration` no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.60 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS) refletido no arquivo /administration/theme.php do PHP-Fusion. Essa vulnerabilidade pode ser explorada por invasores autenticados para executar scripts web arbitrários ou HTML por meio de uma carga maliciosa inserida no campo `Gerenciar Tema`. A vulnerabilidade existe devido à proteção insuficiente da estrutura da página web. **Recomendações** Para a versão 9.03.60 do PHP-Fusion, considere desativar o acesso ao arquivo /administration/theme.php até que um patch esteja disponível. Restrinja o acesso ao campo `Manage Theme` para minimizar o risco de exploração. Evite usar o campo `Manage Theme` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.50 **Descrição** Uma vulnerabilidade de script entre sites (XSS) armazenada no arquivo administration/settings main.php permite que invasores autenticados executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no campo `Rodapé do site`. Este problema está relacionado à falta de medidas de proteção na estrutura da página web, o que pode ser explorado por invasores remotos para realizar ataques de cross-site scripting. **Recomendações** Para o PHP-Fusion versão 9.03.50, considere desativar a capacidade de editar o campo `Rodapé do site` no arquivo administration/settings main.php até que um patch esteja disponível para impedir a exploração deste problema. Restrinja o acesso ao arquivo administration/settings main.php para minimizar o risco de execução arbitrária de scripts da web ou HTML. Evite usar o campo `Rodapé do site` no arquivo administration/settings main.php afetado até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** PHP-Fusion versão 9.03.50 **Descrição** A falha no PHP-Fusion permite que um invasor realize um ataque de repetição de sessão e se faça passar pelo usuário vítima, pois os cookies de sessão não são excluídos após o usuário encerrar a sessão. Isso pode levar ao acesso não autorizado a informações protegidas. A vulnerabilidade está relacionada à contornagem do procedimento de autenticação. **Recomendações** Para o PHP-Fusion versão 9.03.50, certifique-se de que os cookies de sessão sejam excluídos corretamente após o usuário sair da conta, a fim de evitar ataques de repetição de sessão. Como solução temporária, considere implementar um mecanismo personalizado de destruição de sessão para mitigar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Monstra CMS versão 1.6 Descrição: A vulnerabilidade permite um ataque XSS por meio de um documento SVG enviado para a URI “admin/index.php?id=filesmanager&path=uploads/”. Vale ressaltar que o Monstra CMS é um produto descontinuado. Recomendações: Para o Monstra CMS versão 1.6, como solução temporária, considere restringir o acesso à URI “admin/index.php?id=filesmanager&path=uploads/” para minimizar o risco de exploração. Evite usar esta versão até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.