Tom Jackson

**Nome do software vulnerável e versões afetadas** Cybele Thinfinity VirtualUI versão 2.5.17.2 **Descrição** A vulnerabilidade permite a traversal de caminho ../, o que pode ser aproveitado para a exfiltração de dados. Isso possibilita a recuperação de arquivos fora do diretório web, caso a localização exata seja conhecida e o usuário possua as permissões necessárias. **Recomendações** Para o Cybele Thinfinity VirtualUI versão 2.5.17.2, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Como solução temporária, limite as permissões dos usuários para reduzir o impacto potencial do problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cybele Thinfinity VirtualUI versão 2.5.17.2 **Descrição** A vulnerabilidade permite a divisão de respostas HTTP por meio do parâmetro `mimetype` em uma solicitação do visualizador de PDF. Isso pode ser explorado carregando uma solicitação de aplicativo para visualizar um PDF contendo uma carga maliciosa, resultando na execução de uma carga XSS refletida. Por exemplo, um ataque poderia ser demonstrado usando uma solicitação como a substring ‘example.pdf?mimetype=’. **Recomendações** Para o Cybele Thinfinity VirtualUI versão 2.5.17.2, considere restringir o acesso à solicitação do visualizador de PDF ou desativar o parâmetro `mimetype` para minimizar o risco de exploração até que um patch esteja disponível. Evite usar o parâmetro `mimetype` no endpoint da API afetado até que a vulnerabilidade seja resolvida.