Tiziano Di Vincenzo

**Name of the Vulnerable Software and Affected Versions** WatchGuard Fireware OS versions 12.0 through 12.11 **Description** The issue is related to improper input validation, allowing an attacker to manipulate the value of the `HTTP Host` header in requests sent to the Web UI. This could be exploited to redirect users to malicious websites, poison the web cache, or inject malicious JavaScript into responses sent by the Web UI. **Recommendations** For versions 12.0 through 12.11, update to a version that includes the fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Ericsson Network Manager versions prior to 23.2 **Description** The issue is related to mishandled Access Control, allowing unauthenticated low-privilege users to access the NCM application. **Recommendations** For versions prior to 23.2, update to version 23.2 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** WSO2 Enterprise Integrator versão 6.4.0 **Descrição** Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no Console de Gerenciamento, em “/carbon/mediation secure vault/properties/ajaxprocessor.jsp”, por meio do parâmetro `name`. Essa vulnerabilidade não permite o sequestro de sessão ou ataques semelhantes. **Recomendações** Para o WSO2 Enterprise Integrator versão 6.4.0, considere desativar o acesso ao endpoint “/carbon/mediation secure vault/properties/ajaxprocessor.jsp” até que uma correção esteja disponível. Além disso, restrinja o uso do parâmetro `name` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WSO2 Enterprise Integrator versão 6.4.0 **Descrição** Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) refletido na Consola de Gerenciamento, na página “/carbon/ndatasource/validateconnection/ajaxprocessor.jsp”, por meio do parâmetro `driver`. Isso poderia levar ao sequestro de sessão ou a ataques semelhantes, embora se observe que tais ataques não seriam possíveis neste caso. **Recomendações** Para o WSO2 Enterprise Integrator versão 6.4.0, considere desativar o acesso ao endpoint “/carbon/ndatasource/validateconnection/ajaxprocessor.jsp” ou restringir o uso do parâmetro `driver` até que uma correção esteja disponível.