Tisha Manandhar

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios Fusion anteriores à 4.2.0 **Descrição** As versões do Nagios Fusion anteriores à 4.2.0 apresentam uma vulnerabilidade de cross-site scripting (XSS) refletido no processo de configuração da chave de licença. Isso permite que um atacante execute scripts no navegador de um usuário, induzindo-o a acessar um URL especialmente elaborado. A exploração bem-sucedida pode levar ao roubo de credenciais ou informações de sessão, potencialmente concedendo acesso administrativo não autorizado. **Recomendações** Atualize para a versão 4.2.0 ou posterior do Nagios Fusion.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios Fusion anteriores à 4.2.0 **Descrição** Versões do Nagios Fusion anteriores à 4.2.0 apresentam uma vulnerabilidade de cross-site scripting (XSS) armazenado na configuração do servidor de autenticação LDAP/AD. Entradas de usuário que não são devidamente sanitizadas podem ser armazenadas e posteriormente exibidas na interface de usuário administrativa, o que pode levar à execução de JavaScript nos navegadores dos usuários que visualizam a página afetada. Um atacante capaz de adicionar servidores de autenticação usando a integração LDAP/AD poderia persistir um payload malicioso que é executado no contexto dos navegadores de outros usuários. **Recomendações** Atualize o Nagios Fusion para a versão 4.2.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Nagios Fusion versions prior to 4.2.0 **Description** Nagios Fusion versions prior to 4.2.0 contain a stored cross-site scripting (XSS) issue when adding or configuring Email Settings. Insufficient input sanitization allows malicious code to be stored and executed in the browser of users viewing the affected page. An attacker could exploit this by modifying SMTP/email settings or manipulating sendmail configuration fields to inject and persist a malicious payload. **Recommendations** Update to Nagios Fusion version 4.2.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios Network Analyzer anteriores à 2024R1 **Descrição** O Nagios Network Analyzer está suscetível a uma falha de cross-site scripting (XSS) através do menu Percentile Calculator. Isso ocorre devido à validação ou escape inadequados da entrada fornecida pelo usuário, potencialmente permitindo que um atacante injete e execute script arbitrário no navegador da vítima. **Recomendações** Atualize para a versão 2024R1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Nagios Network Analyzer versions prior to 2024R1 **Description** The software contains a stored cross-site scripting (XSS) issue within the Source Groups page, specifically in the percentile calculator menu. An attacker can inject a malicious payload that is stored by the application and executed when other users view the affected page, running the script within the victim’s browser. **Recommendations** Update to version 2024R1 or later.

**Name of the Vulnerable Software and Affected Versions** Super Store Finder versions 3.6 and below **Description** The issue is related to a SQL injection vulnerability. It can be exploited via the `Search` parameter at the "/admin/stores.php" API endpoint. **Recommendations** For Super Store Finder versions 3.6 and below, consider restricting access to the "/admin/stores.php" endpoint until a patch is available. As a temporary workaround, avoid using the `Search` parameter in the affected endpoint to minimize the risk of exploitation.