Toshitsugu Yoneyama

Nome do software vulnerável e versões afetadas: Versões do Webmin anteriores à 2.003 Descrição: O problema está relacionado ao tratamento inadequado de permissões ou privilégios insuficientes no módulo ajaxterm do Webmin. Isso poderia permitir que um usuário não autorizado assumisse o controle de uma sessão de console, levando potencialmente ao vazamento de dados, à alteração de páginas da web ou à paralisação permanente do servidor. A vulnerabilidade pode permitir que um invasor eleve seus privilégios. Recomendações: Para versões anteriores à 2.003, atualize para a versão 2.003 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo ajaxterm para minimizar o risco de exploração. Além disso, revise e garanta a configuração adequada de permissões e privilégios no Webmin para impedir o acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Versões do Webmin anteriores à 2.003 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no módulo ajaxterm. Se explorada, operações indesejadas podem ser executadas quando um usuário visualiza uma página maliciosa enquanto está conectado, o que pode permitir que dados dentro do sistema sejam divulgados, que uma página da web seja alterada ou que um servidor seja paralisado permanentemente. **Recomendações** Para versões anteriores à 2.003, atualize para a versão 2.003 ou posterior para resolver o problema. Como solução temporária, considere desativar o módulo ajaxterm até que um patch esteja disponível. Restrinja o acesso ao módulo ajaxterm para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Webmin anteriores à 1.910 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) no arquivo sysinfo.cgi do Webmin. Se essa vulnerabilidade for explorada, um script arbitrário poderá ser executado no navegador do usuário que acessou o site utilizando o produto. Como resultado, um ID de sessão pode ser obtido, uma página da web pode ser alterada ou um servidor pode ser interrompido. **Recomendações** Para versões do Webmin anteriores à 1.910, atualize para a versão 1.910 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao script sysinfo.cgi até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** GROWI versions prior to v6.0.0 **Description** A stored cross-site scripting issue exists in the App Settings (/admin/app) page, the Markdown Settings (/admin/markdown) page, and the Customize (/admin/customize) page. This could allow an arbitrary script to be executed on the web browser of the user who accessed the site using the product. **Recommendations** For versions prior to v6.0.0, update to version v6.0.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the /admin/app, /admin/markdown, and /admin/customize pages until a patch is applied. Avoid using these pages in production environments until the update is installed.

**Nome do software vulnerável e versões afetadas** Roteadores LAN da ELECOM, versões 1.05 e anteriores **Descrição** A vulnerabilidade permite que um invasor na rede adjacente execute um comando arbitrário do sistema operacional por meio de vetores não especificados. **Recomendações** Para as versões 1.05 e anteriores, atualize o firmware para uma versão posterior à 1.05 a fim de resolver o problema.

**Nome do software vulnerável e versões afetadas: Cybozu Remote Service, versões 3.0.0 a 3.1.9 Descrição: Existe uma vulnerabilidade de cross-site scripting na tela de gerenciamento, permitindo que um invasor remoto injete um script arbitrário. Recomendações: Para as versões 3.0.0 a 3.1.9 do Cybozu Remote Service, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Cybozu Remote Service versão 3.1.8 Descrição: Existe uma vulnerabilidade de traversal de diretório na tela de gerenciamento, permitindo que um invasor remoto autenticado faça o upload de arquivos arbitrários. Recomendações: Para o Cybozu Remote Service versão 3.1.8, atualize para uma versão que corrija essa vulnerabilidade, uma vez que não há solução alternativa específica disponível para esta versão.

**Nome do software vulnerável e versões afetadas: Cybozu Garoon, versões 4.0.0 a 5.0.2 Descrição: O problema está relacionado à validação inadequada de entradas no recurso “Anexar arquivos”, permitindo que um invasor remoto altere os dados desse recurso. Recomendações: Para as versões 4.0.0 a 5.0.2, atualize para uma versão que inclua a correção para a vulnerabilidade de validação inadequada de entradas no recurso “Anexar arquivos”. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Cybozu Garoon, versões 4.0.0 a 5.0.2 Descrição: Uma vulnerabilidade de cross-site scripting na função de Pesquisa de Texto Completo permite que um invasor remoto autenticado injete um script arbitrário por meio de vetores não especificados. Recomendações: Para as versões 4.0.0 a 5.0.2 do Cybozu Garoon, considere restringir o acesso à função de Pesquisa de Texto Completo até que um patch esteja disponível. Como solução temporária, evite usar o recurso de Pesquisa de Texto Completo nas versões 4.0.0 a 5.0.2 do Cybozu Garoon para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Cybozu Garoon, versões 4.0.0 a 5.0.2 Descrição: O problema está relacionado à validação inadequada de entradas no componente de e-mail, permitindo que um invasor remoto com privilégios administrativos modifique dados de e-mail sem os privilégios necessários. Recomendações: Para as versões 4.0.0 a 5.0.2, atualize para uma versão que inclua a correção para este problema, a fim de impedir a modificação não autorizada de dados.

**Nome do software vulnerável e versões afetadas: Cybozu Garoon, versões 4.0.0 a 5.0.2 Descrição: O problema está relacionado a uma validação inadequada de entradas no Perfil do Usuário do Cybozu Garoon, permitindo que um invasor remoto autenticado altere os dados do Perfil do Usuário sem possuir os privilégios necessários. Recomendações: Para as versões 4.0.0 a 5.0.2 do Cybozu Garoon, atualize para uma versão que inclua a correção para este problema, a fim de impedir alterações não autorizadas nos dados do Perfil do Usuário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: NEC Aterm WG1900HP2, versões 1.3.1 e anteriores NEC Aterm WG1900HP, versões 2.5.1 e anteriores NEC Aterm WG1800HP4, versões 1.3.1 e anteriores NEC Aterm WG1800HP3, versões 1.5.1 e anteriores NEC Aterm WG1200HS2 versões 2.5.0 e anteriores NEC Aterm WG1200HP3 versões 1.3.1 e anteriores NEC Aterm WG1200HP2 versões 2.5.0 e anteriores NEC Aterm W1200EX versões 1.3.1 e anteriores NEC Aterm W1200EX-MS versões 1.3.1 e anteriores NEC Aterm WG1200HS todas as versões NEC Aterm WG1200HP todas as versões NEC Aterm WF800HP todas as versões NEC Aterm WF300HP2 todas as versões NEC Aterm WR8165N todas as versões NEC Aterm W500P todas as versões NEC Aterm W300P todas as versões Descrição: Uma vulnerabilidade de cross-site scripting nos dispositivos NEC Aterm permite que invasores remotos injetem scripts ou HTML arbitrários por meio de vetores não especificados. Recomendações: Para o NEC Aterm WG1900HP2 versões 1.3.1 e anteriores, atualize para uma versão posterior à 1.3.1. Para o NEC Aterm WG1900HP, versões 2.5.1 e anteriores, atualize para uma versão posterior à 2.5.1. Para o NEC Aterm WG1800HP4, versões 1.3.1 e anteriores, atualize para uma versão posterior à 1.3.1. Para as versões 1.5.1 e anteriores do NEC Aterm WG1800HP3, atualize para uma versão posterior à 1.5.1. Para as versões 2.5.0 e anteriores do NEC Aterm WG1200HS2, atualize para uma versão posterior à 2.5.0. Para as versões 1.3.1 e anteriores do NEC Aterm WG1200HP3, atualize para uma versão posterior à 1.3.1. Para as versões 2.5.0 e anteriores do NEC Aterm WG1200HP2, atualize para uma versão posterior à 2.5.0. Para o NEC Aterm

**Nome do software vulnerável e versões afetadas** kintone mobile para Android, versões 1.0.0 a 2.5 **Descrição** A vulnerabilidade permite que um invasor obtenha informações de credenciais registradas no produto por meio de vetores não especificados. **Recomendações** Para as versões 1.0.0 a 2.5, atualize para uma versão que contenha uma correção para esta vulnerabilidade, pois a versão atual permite que um invasor obtenha informações de credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Mailwise para Android, versões 1.0.0 a 1.0.1 **Descrição** A vulnerabilidade permite que um invasor obtenha informações de credenciais registradas no produto por meio de vetores não especificados. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o Mailwise para Android, versões 1.0.0 a 1.0.1, atualize para uma versão que contenha uma correção para esta vulnerabilidade, uma vez que não são fornecidas medidas de mitigação específicas para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Cybozu Desktop para Windows, versões 2.0.23 a 2.2.40 **Descrição** A vulnerabilidade permite a execução remota de código por meio de vetores não especificados. **Recomendações** Para as versões 2.0.23 a 2.2.40, atualize para uma versão que contenha uma correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Movable Type anteriores à 7.2.1 Versões do Movable Type Advanced anteriores à 7.2.1 Versões do Movable Type para AWS anteriores à 7.2.1 Versões do Movable Type 6.5 anteriores à 6.5.3 Versões do Movable Type Advanced 6.5 anteriores à 6.5.3 Versões do Movable Type 6.3 anteriores à 6.3.11 Versões do Movable Type Advanced 6.3 anteriores à 6.3.11 Versões do Movable Type Premium anteriores à 1.29 Versões do Movable Type Premium Advanced anteriores à 1.29 **Descrição** A vulnerabilidade permite que invasores remotos injetem valores de atributos HTML arbitrários por meio de vetores não especificados. Isso pode potencialmente levar a atividades maliciosas. **Recomendações** Para versões do Movable Type anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type Advanced anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type para AWS anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type Advanced 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Advanced 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Premium anteriores à 1.29, atualize para a versão 1.29 ou posterior. Para versões do Movable Type Premium Advanced anteriores à 1.29, atualize para a versão 1.29 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Movable Type anteriores à 7.2.1 Versões do Movable Type Advanced anteriores à 7.2.1 Versões do Movable Type para AWS anteriores à 7.2.1 Versões do Movable Type 6.5 anteriores à 6.5.3 Versões do Movable Type Advanced 6.5 anteriores à 6.5.3 Versões do Movable Type 6.3 anteriores à 6.3.11 Versões do Movable Type Advanced 6.3 anteriores à 6.3.11 Versões do Movable Type Premium anteriores à 1.29 Versões do Movable Type Premium Advanced anteriores à 1.29 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores remotos sequestrem a autenticação de administradores por meio de vetores não especificados. **Recomendações** Para versões do Movable Type anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type Advanced anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type para AWS anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type Advanced 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Advanced 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Premium anteriores à 1.29, atualize para a versão 1.29 ou posterior. Para versões do Movable Type Premium Advanced anteriores à 1.29, atualize para a versão 1.29 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Movable Type anteriores à 7.2.1 Versões do Movable Type Advanced anteriores à 7.2.1 Versões do Movable Type para AWS anteriores à 7.2.1 Versões do Movable Type 6.5 anteriores à 6.5.3 Versões do Movable Type Advanced 6.5 anteriores à 6.5.3 Versões do Movable Type 6.3 anteriores à 6.3.11 Versões do Movable Type Advanced 6.3 anteriores à 6.3.11 Versões do Movable Type Premium anteriores à 1.29 Versões do Movable Type Premium Advanced anteriores à 1.29 **Descrição** Uma vulnerabilidade de cross-site scripting permite que invasores remotos injetem scripts ou HTML arbitrários por meio de vetores não especificados. **Recomendações** Para versões do Movable Type anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type Advanced anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type para AWS anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior. Para versões do Movable Type 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type Advanced 6.5 anteriores à 6.5.3, atualize para a versão 6.5.3 ou posterior. Para versões do Movable Type 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Advanced 6.3 anteriores à 6.3.11, atualize para a versão 6.3.11 ou posterior. Para versões do Movable Type Premium anteriores à 1.29, atualize para a versão 1.29 ou posterior. Para versões do Movable Type Premium Advanced anteriores à 1.29, atualize para a versão 1.29 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Junos OS 12.3 anteriores à 12.3R12-S13 Versões do Junos OS 12.3X48 anteriores à 12.3X48-D85 Versões do Junos OS 14.1X53 anteriores à 14.1X53-D51 Versões do Junos OS 15.1F6 anteriores à 15.1F6-S13 Versões do Junos OS 15.1 anteriores à 15.1R7-S5 Versões do Junos OS 15.1X49 anteriores à 15.1X49-D180 Versões do Junos OS 15.1X53 anteriores à 15.1X53-D238 Versões do Junos OS 16.1 anteriores à 16.1R4-S13, 16.1R7-S5 Versões do Junos OS 16.2 anteriores à 16.2R2-S10 Versões do Junos OS 17.1 anteriores à 17.1R3-S1 Versões do Junos OS 17.2 anteriores à 17.2R1-S9, 17.2R3-S2 Versões do Junos OS 17.3 anteriores à 17.3R2-S5, 17.3R3-S5 Versões do Junos OS 17.4 anteriores à 17.4R2-S9, 17.4R3 Versões do Junos OS 18.1 anteriores à 18.1R3-S8 Versões do Junos OS 18.2 anteriores à 18.2R3 Versões do Junos OS 18.3 anteriores à 18.3R2-S3, 18.3R3 Versões do Junos OS 18.4 anteriores à 18.4R2 Versões do Junos OS 19.1 anteriores à 19.1R1-S4, 19.1R2 **Descrição** Existe uma vulnerabilidade de traversal de caminho no Junos OS devido a uma restrição incorreta dos nomes de caminhos de diretórios com acesso limitado. Isso pode permitir que um invasor remoto leia arquivos com permissão de leitura “world” ou exclua arquivos com permissão de gravação “world”. O problema não afeta arquivos do sistema acessíveis apenas pelo usuário root. **Recomendações** Para as versões do Junos OS 12.3 anteriores à 12.3R12-S13, atualize para a versão 12.3R12-S13 ou posterior. Para as versões do Junos OS 12.3X48 anteriores à 12.3X48-D85, atualize para a versão 12.3X48-D85 ou posterior. Para as versões do Junos OS 14.1X53 anteriores à 14.1X53-D51, atualize para a versão

**Nome do software vulnerável e versões afetadas** Versões do Junos OS anteriores à 12.3R12-S15 Versões do Junos OS 12.3X48 anteriores à 12.3X48-D86 e 12.3X48-D90 Versões do Junos OS 14.1X53 anteriores à 14.1X53-D51 Versões do Junos OS 15.1F6 anteriores à 15.1F6-S13 Versões do Junos OS 15.1 anteriores à 15.1R7-S5 Versões do Junos OS 15.1X49 anteriores a 15.1X49-D181, 15.1X49-D190 Versões do Junos OS 15.1X53 anteriores a 15.1X53-D238 Versões do Junos OS 15.1X53 anteriores a 15.1X53-D592 Versões do Junos OS 16.1 anteriores a 16.1R4-S13, 16.1R7-S5 Versões do Junos OS 16.2 anteriores a 16.2R2-S10 Versões do Junos OS 17.1 anteriores a 17.1R2-S11, 17.1R3-S1 Versões do Junos OS 17.2 anteriores a 17.2R1-S9, 17.2R3-S2 Versões do Junos OS 17.3 anteriores a 17.3R2-S5, 17.3R3-S5 Versões do Junos OS 17.4 anteriores a 17.4R2-S6, 17.4R3 Versões do Junos OS 18.1 anteriores à 18.1R3-S7 Versões do Junos OS 18.2 anteriores à 18.2R2-S5, 18.2R3 Versões do Junos OS 18.3 anteriores à 18.3R1-S6, 18.3R2-S1, 18.3R3 Versões do Junos OS 18.4 anteriores à 18.4R1-S5, 18.4R2 Versões do Junos OS 19.1 anteriores à 19.1R1-S2, 19.1R2 **Descrição** O problema está relacionado à proteção insuficiente contra ataques de Cross-Site Scripting (XSS) na interface J-Web do Junos OS. Isso pode permitir que um invasor remoto injete scripts da web ou HTML, sequestre a sessão J-Web do usuário alvo e execute ações administrativas no dispositivo Junos na qualidade do usuário alvo. **Recomendações** Para versões do Junos OS anteriores à 12.3R12-S15, atualize para a versão 12.3R12-S15 ou posterior. Para versões do Junos OS 12.3X48 anteriores à 12.3X48-D86 e 12.3X48-D90, atualize