Victor Pereira

**Name of the Vulnerable Software and Affected Versions** openSUSE paste versions prior to b57b9f87e303a3db9465776e657378e96845493b **Description** An Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') issue allows remote attackers to place Javascript into SVG files. **Recommendations** For versions prior to b57b9f87e303a3db9465776e657378e96845493b, as a temporary workaround, consider restricting access to SVG files until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do SUSE Open Build Service anteriores à 2.10.13 **Descrição** Uma vulnerabilidade no SUSE Open Build Service permite que invasores remotos façam referência a entidades externas em determinadas operações, podendo obter informações do servidor que podem ser utilizadas indevidamente para escalar privilégios de administrador no OBS. **Recomendações** Para versões anteriores à 2.10.13, atualize para a versão 2.10.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a determinadas operações que possam estar vulneráveis a ataques de Referência a Entidade Externa XML até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do open-build-service anteriores a 7cc32c8e2ff7290698e101d9a80a9dc29a5500fb **Descrição** Uma falha na neutralização inadequada de entradas durante a geração de páginas da Web permite que invasores remotos armazenem código JS arbitrário, causando XSS. **Recomendações** Para versões anteriores a 7cc32c8e2ff7290698e101d9a80a9dc29a5500fb, atualize para uma versão que inclua a correção para este problema, a fim de impedir que invasores remotos armazenem código JS arbitrário e causem XSS.

**Name of the Vulnerable Software and Affected Versions** SaltStack (affected versions not specified) **Description** The issue allows remote users to decrypt communications due to a problem with SaltStack RSA Key Generation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Horde Groupware Webmail Edition (affected versions not specified) **Description** The issue concerns Horde Groupware Webmail Edition, which has problems with CSRF and XSS when saving a search as a virtual address book. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Horde Groupware Web Mail version 5.1.2 **Description** The issue concerns a CSRF problem that affects requests to change permissions. **Recommendations** For version 5.1.2, update to a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** evince (affected versions not specified) **Description** The issue is related to a missing check on the number of pages, which can lead to a segmentation fault. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** gSOAP versions 2.7.x through 2.8.47 **Description** The issue allows remote attackers to execute arbitrary code or cause a denial of service via a large XML document. This can lead to a stack-based buffer overflow and application crash. **Recommendations** For gSOAP versions 2.7.x through 2.8.47, update to version 2.8.48 or later to resolve the issue. As a temporary workaround, consider restricting the size of XML documents processed by the soap get function to prevent exploitation.

**Nome do software vulnerável e versões afetadas** openldap versão 2.4 **Descrição** Foi detectado um erro “off-by-one” no openldap durante o processamento de mensagens DNS SRV, o que pode levar a uma falha no sistema. Esse problema afeta configurações que utilizam o backend dnssrv, nas quais um invasor poderia explorar o serviço com respostas DNS manipuladas, causando sua falha. **Recomendações** Para o openldap versão 2.4, como solução temporária, considere desativar o backend dnssrv até que um patch esteja disponível. Restrinja o acesso ao serviço para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Python Pip versions prior to 1.5 **Description** The issue concerns the mirroring support in Python Pip, which uses insecure DNS querying and authenticity checks. This allows attackers to perform man-in-the-middle attacks. **Recommendations** For versions prior to 1.5, update to version 1.5 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Qemu versions 1.1.2+dfsg through 2.1+dfsg **Description** The issue is related to a buffer overrun that could potentially result in arbitrary code execution on the host with the privileges of the QEMU process. **Recommendations** For Qemu versions 1.1.2+dfsg through 2.1+dfsg, at the moment, there is no information about a newer version that contains a fix for this vulnerability.