Ssshah2131

**Nome do Software Vulnerável e Versões Afetadas** Versões do MobSF até e incluindo a 4.3.2 **Descrição** O MobSF é uma ferramenta de teste de segurança de aplicativos móveis utilizada por equipes de segurança em diversas organizações, tipicamente implantada em servidores internos centralizados ou baseados em nuvem. A ferramenta disponibiliza uma funcionalidade que permite aos usuários carregar arquivos ZIP para análise estática, os quais são automaticamente extraídos e armazenados dentro do diretório do MobSF. No entanto, esta funcionalidade não possui uma verificação do tamanho total descompactado do arquivo ZIP, tornando-a vulnerável a um ataque ZIP of Death (zip bomb). Um atacante pode criar um arquivo ZIP especialmente preparado que é pequeno na forma compactada, mas se expande para um tamanho massivo após a extração, esgotando o espaço em disco do servidor e levando a uma negação de serviço (DoS) completa, não apenas para o MobSF, mas também para quaisquer outros aplicativos ou sites hospedados no mesmo servidor. Esta vulnerabilidade pode levar à interrupção completa do servidor em uma organização, afetando também outros portais e ferramentas internas. **Recomendações** Para versões até e incluindo a 4.3.2, atualize para uma versão que inclua a correção, como a versão após o commit 6987a946485a795f4fd38cebdb4860b368a1995d. Como mitigação adicional, implemente uma salvaguarda que verifique o tamanho total descompactado de qualquer arquivo ZIP carregado antes da extração, rejeitando arquivos que excedam um limite seguro, como 100 MB, e notifique o usuário.

**Nome do Software Vulnerável e Versões Afetadas** Mobile Security Framework (MobSF) versões até e incluindo a 4.3.2 **Descrição** Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no MobSF. O problema decorre da sanitização inadequada de arquivos SVG fornecidos pelo usuário durante o fluxo de trabalho de análise de APK do Android. Quando um projeto do Android Studio contém um arquivo SVG malicioso como ícone do aplicativo e o projeto é compactado em ZIP e enviado para o MobSF, a ferramenta processa e extrai o conteúdo sem validar ou sanitizar o SVG. O arquivo SVG torna-se publicamente acessível via interface web e, se contiver JavaScript incorporado, acessar a URL via navegador leva à execução do script no contexto da sessão do usuário do MobSF, resultando em XSS armazenado. **Recomendações** Para versões até e incluindo a 4.3.2, atualize para a versão 4.3.3 para corrigir o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint `download`, especificamente para arquivos com a extensão `.svg`, para minimizar o risco de exploração. Evite usar o endpoint `http://127.0.0.1:8081/download/filename.svg` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Aimeos 2024.04 a 2024.07.1 **Descrição** O problema afeta todas as configurações de SaaS e marketplace que utilizam a interface de administração da API GraphQL do Aimeos, podendo permitir um ataque de negação de serviço. **Recomendações** Para as versões 2024.04 a 2024.07.1, atualize para a versão 2024.07.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do aimeos/ai-controller-frontend anteriores à 2024.4.2 Versões do aimeos/ai-controller-frontend anteriores à 2023.10.9 versões do aimeos/ai-controller-frontend anteriores à 2022.10.8 versões do aimeos/ai-controller-frontend anteriores à 2021.10.8 versões do aimeos/ai-controller-frontend anteriores à 2020.10.15 **Descrição** A vulnerabilidade está relacionada a uma referência direta a objeto insegura, que permite que um invasor desative assinaturas e avaliações de outro cliente. **Recomendações** Para versões anteriores à 2024.4.2, atualize para a versão 2024.4.2 ou posterior. Para versões anteriores à 2023.10.9, atualize para a versão 2023.10.9 ou posterior. Para versões anteriores à 2022.10.8, atualize para a versão 2022.10.8 ou posterior. Para versões anteriores à 2021.10.8, atualize para a versão 2021.10.8 ou posterior. Para versões anteriores à 2020.10.15, atualize para a versão 2020.10.15 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do aimeos/ai-admin-graphql de 01/04/2022 a 09/10/2022 versões do aimeos/ai-admin-graphql de 10/10/2022 a 05/10/2023 versões do aimeos/ai-admin-graphql de 06/10/2023 a 05/04/2024 **Descrição** A vulnerabilidade está relacionada a um controle de acesso inadequado na interface de administração da API GraphQL do Aimeos, o que permite que um editor modifique e assuma o controle de uma conta de administrador no back-end. **Recomendações** Para as versões de 01/04/2022 a 09/10/2022, atualize para a versão 10/10/2022 ou posterior. Para as versões 2022.10.10 a 2023.10.05, atualize para a versão 2023.10.06 ou posterior. Para as versões 2023.10.06 a 2024.04.05, atualize para a versão 2024.04.06 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do aimeos/ai-admin-jsonadm anteriores a 2020.10.13 Versões do aimeos/ai-admin-jsonadm anteriores a 2021.10.6 Versões do aimeos/ai-admin-jsonadm anteriores a 2022.10.3 versões do aimeos/ai-admin-jsonadm anteriores a 2023.10.4 versões do aimeos/ai-admin-jsonadm anteriores a 2024.4.2 **Descrição** O problema está relacionado a um controle de acesso inadequado na API JSON de comércio eletrônico do Aimeos para tarefas administrativas. Isso permite que editores removam a configuração do grupo de administradores e da localidade no backend do Aimeos. **Recomendações** Para versões anteriores à 2020.10.13, atualize para a versão 2020.10.13 ou posterior. Para versões anteriores à 2021.10.6, atualize para a versão 2021.10.6 ou posterior. Para versões anteriores à 2022.10.3, atualize para a versão 2022.10.3 ou posterior. Para versões anteriores à 2023.10.4, atualize para a versão 2023.10.4 ou posterior. Para versões anteriores à 2024.4.2, atualize para a versão 2024.4.2 ou posterior.

**Nome do software vulnerável e versões afetadas** aimeos/ai-admin-graphql, versões de 04/2022 a 10/2022 aimeos/ai-admin-graphql, versões de 10/2022 a 10/2023 versões do aimeos/ai-admin-graphql de 2023.10.6 a 2024.4.1 **Descrição** O problema está relacionado a um controle de acesso inadequado na interface de administração da API GraphQL do Aimeos, permitindo que editores gerenciem seus próprios serviços por meio da API GraphQL, o que não é permitido no front-end do JQAdm. **Recomendações** Para as versões 2022.04.1 a 2022.10.9, atualize para a versão 2022.10.10 ou posterior. Para as versões 2022.10.10 a 2023.10.5, atualize para a versão 2023.10.6 ou posterior. Para as versões 2023.10.6 a 2024.4.1, atualize para a versão 2024.4.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do aimeos/ai-controller-frontend anteriores a 2024.04.2 Versões do aimeos/ai-controller-frontend anteriores a 2023.10.9 Versões do aimeos/ai-controller-frontend anteriores a 2022.10.8 Versões do aimeos/ai-controller-frontend anteriores à 2021.10.8 Versões do aimeos/ai-controller-frontend anteriores à 2020.10.15 **Descrição** O problema está relacionado ao fato de o status de pagamento do carrinho de um usuário não ser reinicializado após a conclusão de uma compra. Isso poderia potencialmente permitir manipulação. **Recomendações** Atualize para a versão 2024.04.2 ou posterior. Atualize para a versão 2023.10.9 ou posterior. Atualize para a versão 2022.10.8 ou posterior. Atualize para a versão 2021.10.8 ou posterior. Atualize para a versão 2020.10.15 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do ai-client-html anteriores à 2024.04.7 Versões do ai-client-html anteriores à 2023.10.15 Versões do ai-client-html anteriores à 2022.10.13 Versões do ai-client-html anteriores à 2021.10.22 **Descrição** O problema diz respeito a informações de depuração que revelam dados confidenciais de variáveis de ambiente nos logs de erros. Isso afeta ambientes Laravel com configurações de múltiplos fornecedores e acesso de administrador para os fornecedores. **Recomendações** Para versões anteriores à 2024.04.7, atualize para a versão 2024.04.7 para resolver o problema. Para versões anteriores à 2023.10.15, atualize para a versão 2023.10.15 para resolver o problema. Para versões anteriores à 2022.10.13, atualize para a versão 2022.10.13 para resolver o problema. Para versões anteriores à 2021.10.22, atualize para a versão 2021.10.22 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Aimeos de 2024.01.1 a 2024.04.4 **Descrição** A vulnerabilidade permite que um usuário com privilégios administrativos faça upload de arquivos que parecem ser imagens, mas que, na verdade, contêm código PHP, o qual pode ser executado no contexto do servidor web. **Recomendações** Para as versões do Aimeos 2024.01.1 a 2024.04.4, atualize para a versão 2024.04.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do cliente HTML Aimeos de 2020.04.1 a 2020.10.26 Versões do cliente HTML Aimeos anteriores a 2021.10.21 Versões do cliente HTML Aimeos anteriores a 2022.10.12 Versões do cliente HTML Aimeos anteriores a 2023.10.14 Versões do cliente HTML Aimeos anteriores a 2024.04.5 **Descrição** A vulnerabilidade permite que downloads digitais vendidos em lojas online sejam baixados sem pagamento válido, por exemplo, se o pagamento não for bem-sucedido. **Recomendações** Para as versões de 01/04/2020 a 26/10/2020, atualize para a versão 27/10/2020 ou posterior. Para versões anteriores a 21/10/2021, atualize para a versão 21/10/2021 ou posterior. Para versões anteriores a 2022.10.12, atualize para a versão 2022.10.12 ou posterior. Para versões anteriores a 2023.10.14, atualize para a versão 2023.10.14 ou posterior. Para versões anteriores a 2024.04.5, atualize para a versão 2024.04.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Aimeos de 2022 a 2024 **Descrição** O problema afeta todas as configurações de SaaS e marketplace, podendo levar a um ataque de negação de serviço. **Recomendações** Atualize para a versão 2022.10.17 para receber uma correção. Atualize para a versão 2023.10.17 para receber uma correção. Atualize para a versão 2024.04 para receber uma correção.