Spawnzii

**Nome do Software Vulnerável e Versões Afetadas** Centreon Infra Monitoring versões 23.10.0 até 23.10.26 Centreon Infra Monitoring versões 24.04.0 até 24.04.16 Centreon Infra Monitoring versões 24.10.0 até 24.10.9 **Descrição** O software contém uma falha de Neutralização Imprópria de Entrada Durante a Geração de Página Web, especificamente uma condição de Cross-site Scripting (XSS) Armazenado. Isso permite que usuários com privilégios elevados injetem scripts maliciosos. A falha está localizada nos módulos Services Meta-services. **Recomendações** Atualize o Centreon Infra Monitoring para a versão 23.10.27 ou posterior. Atualize o Centreon Infra Monitoring para a versão 24.04.17 ou posterior. Atualize o Centreon Infra Monitoring para a versão 24.10.10 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Centreon Infra Monitoring versões 24.10.0 a 24.10.12 Centreon Infra Monitoring versões 24.04.0 a 24.04.17 Centreon Infra Monitoring versões 23.10.0 a 23.10.27 **Descrição** Existe uma falha no Centreon Infra Monitoring relacionada à neutralização inadequada de entrada durante a geração de páginas web, resultando em uma condição de Cross-site Scripting (XSS) Armazenado. Este problema está presente nos módulos do widget HTTP Loader. A exploração bem-sucedida poderia permitir que um atacante injetasse scripts maliciosos em páginas web visualizadas por outros usuários. **Recomendações** Atualize o Centreon Infra Monitoring para a versão 24.10.13 ou posterior. Atualize o Centreon Infra Monitoring para a versão 24.04.18 ou posterior. Atualize o Centreon Infra Monitoring para a versão 23.10.28 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: versões web 23.10.0 até 23.10.26 versões web 24.04.0 até 24.04.16 versões web 24.10.0 até 24.10.9 Descrição: Um usuário com privilégios elevados pode injetar comandos SQL através da página do indicador do Meta Service devido à neutralização inadequada de elementos especiais dentro de uma consulta SQL. Recomendações: Atualize o web para uma versão posterior a 23.10.26. Atualize o web para uma versão posterior a 24.04.16. Atualize o web para uma versão posterior a 24.10.9.

Nome do Software Vulnerável e Versões Afetadas: Versões do Centreon web de 23.10.0 a 23.10.26 Versões do Centreon web de 24.04.0 a 24.04.16 Versões do Centreon web de 24.10.0 a 24.10.9 Descrição: A aplicação web está vulnerável a Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL dentro do módulo de logs de eventos de Monitoramento. Um atacante autenticado com baixos privilégios pode manipular o banco de dados alterando solicitações HTTP para inserir um payload. Recomendações: Versões do Centreon web anteriores a 23.10.26 devem ser atualizadas. Versões do Centreon web anteriores a 24.04.16 devem ser atualizadas. Versões do Centreon web anteriores a 24.10.9 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Centreon Web versões 23.04.x até 23.04.23 Centreon Web versões 23.10.x até 23.10.18 Centreon Web versões 24.04.x até 24.04.8 Centreon Web versões 24.10.x até 24.10.2 **Descrição** Um usuário com privilégios elevados consegue realizar uma injeção de SQL no formulário de upload de mídia. Este problema permite que atacantes com privilégios elevados explorem o formulário de upload de mídia, potencialmente injetando código SQL malicioso. **Recomendações** Centreon Web versão 23.04.x: Atualize para a versão 23.04.24 ou posterior. Centreon Web versão 23.10.x: Atualize para a versão 23.10.19 ou posterior. Centreon Web versão 24.04.x: Atualize para a versão 24.04.9 ou posterior. Centreon Web versão 24.10.x: Atualize para a versão 24.10.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Centreon centreon-web versões 24.10.x anteriores a 24.10.3 Centreon centreon-web versões 24.04.x anteriores a 24.04.9 Centreon centreon-web versões 23.10.x anteriores a 23.10.19 Centreon centreon-web versões 23.04.x anteriores a 23.04.24 **Descrição** Um usuário com privilégios elevados é capaz de injetar SQL no formulário utilizado para criar métricas virtuais. Este problema permite que um atacante com privilégios elevados realize injeção de SQL, possibilitando potencialmente o escalonamento de privilégios. **Recomendações** Para o Centreon centreon-web versão 24.10.x anterior a 24.10.3, atualize para a versão 24.10.3 ou posterior. Para o Centreon centreon-web versão 24.04.x anterior a 24.04.9, atualize para a versão 24.04.9 ou posterior. Para o Centreon centreon-web versão 23.10.x anterior a 23.10.19, atualize para a versão 23.10.19 ou posterior. Para o Centreon centreon-web versão 23.04.x anterior a 23.04.24, atualize para a versão 23.04.24 ou posterior. Como solução temporária, considere restringir o acesso ao formulário utilizado para criar métricas virtuais até que uma correção seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do grist-core anteriores à 1.3.2 **Descrição** O problema ocorre quando um usuário acessa um documento malicioso e clica em um link em uma célula HyperLink usando um modificador de teclado, como Ctrl+clique. Isso pode levar ao comprometimento da conta, pois o link pode utilizar o esquema javascript: e ser executado no contexto da página atual. **Recomendações** Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, evite clicar em links de células HyperLink usando um modificador de controle em documentos criados por pessoas em quem não confia.

**Nome do software vulnerável e versões afetadas** Versões do grist-core anteriores à 1.3.1 **Descrição** Um usuário que acesse um documento malicioso ou envie um formulário malicioso pode ter sua conta comprometida devido à possibilidade de usar o esquema `javascript:` em URLs de widgets personalizados e URLs de redirecionamento de formulários. **Recomendações** Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 para resolver o problema. Como solução temporária para usuários que não possam atualizar, evite acessar documentos ou formulários criados por pessoas em quem não confia.

**Nome do software vulnerável e versões afetadas** Versões do SPIP 3.1.13 a 4.1.2 **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem código arbitrário por meio do parâmetro ` oups`. Isso possibilita que invasores realizem execução remota de código (RCE) nos sistemas afetados. **Recomendações** Para as versões do SPIP 3.1.13 a 4.1.2, considere restringir o acesso ao parâmetro ` oups` para minimizar o risco de exploração até que uma correção esteja disponível.