Tomas Castro Rojas

**Nome do software vulnerável e versões afetadas** Versões do Dolibarr ERP CRM anteriores à 19.0.2 **Descrição** O problema está relacionado a uma vulnerabilidade de execução remota de código (RCE). Ela pode ser explorada por meio do parâmetro `Campo calculado`, na função `Configuração do Módulo de Usuários`. **Recomendações** Para versões anteriores à 19.0.2, atualize para a versão 19.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `Configuração do Módulo de Usuários` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Bonitasoft, S.A. versões anteriores à 7.14.8 Bonitasoft, S.A. versões anteriores à 7.15.7 Bonitasoft, S.A. versões anteriores à 8.0.3 Bonitasoft, S.A. versões anteriores à 9.0.2 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de uma carga maliciosa no campo `Nome de exibição dos grupos`. Trata-se de uma vulnerabilidade de Cross Site Scripting. **Recomendações** Para versões anteriores à 7.14.8, atualize para a versão 7.14.8 ou posterior. Para versões anteriores à 7.15.7, atualize para a versão 7.15.7 ou posterior. Para versões anteriores à 8.0.3, atualize para a versão 8.0.3 ou posterior. Para versões anteriores à 9.0.2, atualize para a versão 9.0.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Imagem oficial do Plone para Docker, versão 5.2.13 (5221) **Descrição** Uma falha no software de código aberto da Imagem oficial do Plone para Docker pode permitir a execução remota de código devido à inexistência de um pacote listado em ++plone++static/components no índice público de pacotes (npm). **Recomendações** Para a Plone Docker Official Image versão 5.2.13 (5221), considere atualizar para uma versão mais recente que inclua uma correção para este problema, pois a versão atual pode permitir a execução remota de código devido à ausência de um pacote no índice público de pacotes. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Imagem oficial do Plone Docker versão 5.2.13 (5221) **Descrição** A vulnerabilidade permite a execução remota de código devido a uma validação inadequada dos dados inseridos nos cabeçalhos `HOST`. Isso pode ser explorado por um invasor para executar código arbitrário, injetando-o no cabeçalho `HOST`. **Recomendações** Para a Imagem Oficial do Plone Docker versão 5.2.13 (5221), como solução temporária, considere restringir o acesso aos cabeçalhos `HOST` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plone Docker versão 5.2.13 (5221) **Descrição** O problema está relacionado à ausência de um mecanismo para impedir alterações indesejadas nos recursos durante o processamento de solicitações. Isso permite que invasores não autenticados executem ações perigosas, como enviar arquivos para o servidor ou excluí-los, utilizando os métodos HTTP PUT e DELETE. **Recomendações** Para o Plone Docker versão 5.2.13 (5221), considere desativar os métodos HTTP PUT e DELETE para impedir a exploração até que uma correção esteja disponível. Restrinja o acesso ao servidor para minimizar o risco de uploads ou exclusões não autorizadas de arquivos.

**Nome do software vulnerável e versões afetadas** TP-Link Tapo APK até a versão 2.12.703 **Descrição** O problema está relacionado ao uso de credenciais codificadas de forma rígida para acesso ao painel de login no TP-Link Tapo APK. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas. A vulnerabilidade também está associada ao armazenamento não criptografado das credenciais. **Recomendações** Para o TP-Link Tapo APK até a versão v2.12.703, considere atualizar para uma versão que não utilize credenciais codificadas para o painel de login, se disponível. Como solução temporária, restrinja o acesso ao painel de login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.