Tsutomu Aramaki

**Nome do Software Vulnerável e Versões Afetadas** SkyBridge BASIC MB-A130 versões anteriores à 1.5.8 **Descrição** Existe no software uma neutralização inadequada de elementos especiais utilizados em um comando do SO ('Injeção de Comando do SO'). Se explorada, um atacante remoto não autenticado pode executar comandos arbitrários do SO com privilégios de root. **Recomendações** SkyBridge BASIC MB-A130 versões anteriores à 1.5.8: Atualize para a versão 1.5.8 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Group Office anteriores à 6.6.182 Versões do Group Office anteriores à 6.7.64 Versões do Group Office anteriores à 6.8.31 **Descrição** Existe uma vulnerabilidade de cross-site scripting que pode permitir que um invasor remoto autenticado execute um script arbitrário no navegador da web do usuário que estiver fazendo login no produto. **Recomendações** Para versões anteriores à 6.6.182, atualize para a versão 6.6.182 ou posterior. Para versões anteriores à 6.7.64, atualize para a versão 6.7.64 ou posterior. Para versões anteriores à 6.8.31, atualize para a versão 6.8.31 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Joruri Gw versions 3.2.5 and earlier **Description** A cross-site scripting issue allows a remote authenticated attacker to inject an arbitrary script via the Message Memo function of the affected product. **Recommendations** For versions 3.2.5 and earlier, consider disabling the Message Memo function until a patch is available to prevent exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Modern Events Calendar Lite anteriores à 6.3.0 **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto autenticado injete um script arbitrário por meio de vetores não especificados. **Recomendações** Para versões anteriores à 6.3.0, atualize para a versão 6.3.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin de seleção de cores para navegadores móveis do WordPress, versões até e incluindo a 1.0.1 **Descrição** O problema se deve à falta ou à validação incorreta do nonce na função `admin update data()`, possibilitando que invasores não autenticados injetem scripts maliciosos na web por meio de solicitações falsificadas. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link. **Recomendações** Para versões até a 1.0.1, inclusive, considere desativar a função `admin update data()` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso aos recursos administrativos do plugin para minimizar o risco de solicitações não autorizadas.

**Nome do software vulnerável e versões afetadas** Versões do plugin WPMK Ajax Finder para WordPress até a versão 1.0.1, inclusive **Descrição** O problema está relacionado à falsificação de solicitação entre sites (Cross-Site Request Forgery), que ocorre devido à falta de uma verificação de nonce na função `createplugin atf admin setting page()`, encontrada no arquivo ~/inc/config/create-plugin-config.php. Isso permite que invasores injetem scripts web arbitrários. **Recomendações** Para versões até e incluindo a 1.0.1, considere desativar a função `createplugin atf admin setting page()` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo ~/inc/config/create-plugin-config.php para minimizar o risco de injeção de scripts web arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Quiz And Survey Master anteriores à 7.3.7 **Descrição** Uma vulnerabilidade de cross-site scripting armazenada permite que um invasor remoto autenticado injete um script arbitrário por meio de um site que utilize o Quiz And Survey Master. **Recomendações** Para versões anteriores à 7.3.7, atualize para a versão 7.3.7 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: GroupSession Free Edition, versões 5.1.1 e anteriores GroupSession byCloud, versões 5.1.1 e anteriores GroupSession ZION, versões 5.1.1 e anteriores Descrição: A vulnerabilidade permite que um invasor remoto não autenticado redirecione usuários para sites da Web arbitrários e realize ataques de phishing, fazendo com que o usuário acesse uma URL especialmente criada para esse fim. Recomendações: Para as versões 5.1.1 e anteriores do GroupSession Free Edition, considere restringir o acesso a URLs que possam ser usadas para ataques de phishing até que uma correção esteja disponível. Para as versões 5.1.1 e anteriores do GroupSession byCloud, evite usar URLs que possam ser exploradas para redirecionamentos abertos até que o problema seja resolvido. Para as versões 5.1.1 e anteriores do GroupSession ZION, como solução alternativa temporária, considere desativar o acesso a URLs externas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GroupSession Free Edition, versões 5.1.1 e anteriores GroupSession byCloud, versões 5.1.1 e anteriores GroupSession ZION, versões 5.1.1 e anteriores Descrição: Uma vulnerabilidade de traversal de caminho permite que um invasor com privilégios administrativos obtenha informações confidenciais armazenadas na hierarquia acima do diretório no servidor do site publicado, por meio de vetores não especificados. Recomendações: Para as versões 5.1.1 e anteriores do GroupSession Free Edition, atualize para uma versão posterior à 5.1.1 para resolver o problema. Para as versões 5.1.1 e anteriores do GroupSession byCloud, atualize para uma versão posterior à 5.1.1 para resolver o problema. Para as versões 5.1.1 e anteriores do GroupSession ZION, atualize para uma versão posterior à 5.1.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às informações confidenciais armazenadas no servidor para minimizar o risco de exploração.