Thomas Kostal

Nome do Software Vulnerável e Versões Afetadas: Versões do Cyberduck até a 9.1.6 Versões do Mountain Duck até a 4.17.5 Descrição: O problema está relacionado ao tratamento inadequado do pinning de certificado TLS para certificados não confiáveis, como certificados autoassinados, no Cyberduck e no Mountain Duck. A impressão digital do certificado é armazenada utilizando SHA-1, o que é considerado fraco. Recomendações: Para as versões do Cyberduck até a 9.1.6, considere atualizar para uma versão que trate adequadamente o pinning de certificado TLS. Para as versões do Mountain Duck até a 4.17.5, considere atualizar para uma versão que trate adequadamente o pinning de certificado TLS. Como solução temporária, considere desabilitar o uso de SHA-1 para impressões digitais de certificado tanto no Cyberduck quanto no Mountain Duck até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Versões do Cyberduck anteriores à 9.1.7 Versões do Mountain Duck anteriores à 4.17.6 Descrição: O problema envolve a manipulação inadequada do pinning de certificado TLS para certificados não confiáveis, como os autoassinados. Isso resulta na instalação desnecessária desses certificados no Repositório de Certificados do Windows do usuário atual, sem quaisquer restrições. Recomendações: Para versões do Cyberduck anteriores à 9.1.7, atualize para a versão 9.1.7 ou posterior para resolver o problema. Para versões do Mountain Duck anteriores à 4.17.6, atualize para a versão 4.17.6 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao processo de instalação de certificados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Vtiger CRM versão 7.4.0 **Descrição** Foi encontrada uma vulnerabilidade de cross-site scripting (XSS) armazenada nos módulos de modelos de e-mail. Isso permite que scripts maliciosos sejam armazenados e executados quando o módulo é acessado. **Recomendações** Para o Vtiger CRM versão 7.4.0, considere desativar os módulos de modelos de e-mail até que uma correção esteja disponível para evitar a possível exploração da vulnerabilidade de XSS armazenada.