Thegetch

**Nome do software vulnerável e versões afetadas** Solutions Atlantic Regulatory Reporting System (RRS), versão v500 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado consulte arquivos internos do sistema em solicitações feitas à página “RRSWeb/maint/ShowDocument/ShowDocument.aspx”. O servidor responde com o conteúdo do arquivo interno solicitado, possibilitando que invasores extraiam dados e/ou arquivos confidenciais do sistema de arquivos subjacente, obtenham conhecimento sobre o funcionamento interno do sistema ou acessem o código-fonte do aplicativo. **Recomendações** Como solução temporária, considere restringir o acesso à página “RRSWeb/maint/ShowDocument/ShowDocument.aspx” até que uma correção esteja disponível. Além disso, limitar a capacidade dos usuários autenticados de acessar arquivos internos do sistema pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Solutions Atlantic Regulatory Reporting System (RRS), versão v500 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS) refletida. Ela pode ser explorada por meio do endpoint da API “RRSWeb/maint/ShowDocument/ShowDocument.aspx”. **Recomendações** Para a versão v500, como solução temporária, considere restringir o acesso ao endpoint “RRSWeb/maint/ShowDocument/ShowDocument.aspx” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TastyIgniter versão 3.2.2 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS). O parâmetro `items%5B0%5D%5Bpath%5D` de uma solicitação feita para “/admin/allergens/edit/1” está vulnerável. **Recomendações** Para a versão 3.2.2, como solução temporária, considere restringir o acesso ao endpoint “/admin/allergens/edit/1” até que um patch esteja disponível. Evite usar o parâmetro `items%5B0%5D%5Bpath%5D` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.