Swarnimbandekar

**Nome do Software Vulnerável e Versões Afetadas** Xibo versões 1.7 até 4.4.0 **Descrição** Uma injeção de SQL existe nas rotas de API do CMS usadas para filtrar DataSets. Isso permite que um usuário autenticado com o privilégio `Access to DataSet Feature` ou `Access to the Layout Feature` obtenha e modifique dados arbitrários do banco de dados ao injetar valores especialmente criados no parâmetro de filtro da API. **Recomendações** Atualize para a versão 4.4.1. Para as versões 3.3, 2.3 e 1.8, aplique as correções disponíveis.

**Nome do Software Vulnerável e Versões Afetadas** Xibo versões anteriores a 4.4.1 **Descrição** Um problema de Cross-Site Scripting (XSS) armazenado permite que um usuário autenticado com permissões de criação de notificações injete JavaScript arbitrário no corpo da notificação. Quando uma notificação é configurada como "interrupt", o payload é executado automaticamente no navegador dos usuários visados ao fazer login, sem exigir interação. Isso requer que o invasor possua privilégios para acessar a Central de Notificações e a capacidade de usar o botão "Add Notification", permissões que normalmente não são concedidas a não administradores. **Recomendações** Atualizar para a versão 4.4.1. Revogar os privilégios de criação de notificações e de acesso à Central de Notificações de usuários não confiáveis como uma medida paliativa temporária.

**Nome do Software Vulnerável e Versões Afetadas** Xibo versões anteriores a 4.4.1 **Descrição** Um Server-Side Request Forgery (SSRF) autenticado permite que usuários com permissões de DataSet façam requisições HTTP arbitrárias do servidor CMS para recursos de rede internos ou externos. Isso pode ser utilizado para escanear a infraestrutura interna, acessar endpoints de metadados de nuvem local, como AWS IMDS, interagir com serviços internos sem autenticação ou exfiltrar dados. A exploração requer que um usuário autorizado possua o privilégio de usar o botão "Add DataSet" para criar DataSets adicionais independentemente para Layouts. **Recomendações** Atualizar para a versão 4.4.1. Revogar o privilégio de usar o botão "Add DataSet" de usuários não confiáveis como uma medida paliativa temporária.