Viliald

**Nome do software vulnerável e versões afetadas** Versões do Combodo iTop anteriores à 3.1.2 Versões do Combodo iTop anteriores à 3.2.0 **Descrição** O problema está relacionado a um ataque de Cross-site Scripting (XSS) que pode ser executado ao importar conteúdo CSV malicioso. Isso pode ser feito inserindo código malicioso em um arquivo CSV. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior. Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior. Como solução alternativa temporária para usuários que não possam atualizar, valide o conteúdo CSV antes de importá-lo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Combodo iTop anteriores à 3.1.2 Versões do Combodo iTop anteriores à 3.2.0 **Descrição** É possível explorar uma vulnerabilidade CSRF na simulação de importação de CSV no Combodo iTop, permitindo que um invasor falsifique solicitações maliciosas. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões do Combodo iTop anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver a vulnerabilidade. Para versões do Combodo iTop anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver a vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ampache (versões afetadas não especificadas) **Descrição** É possível realizar um ataque de falsificação de solicitação entre sites (CSRF) para excluir objetos como listas de reprodução e listas inteligentes. Esse ataque força usuários autenticados a enviar uma solicitação a uma aplicação web na qual estejam autenticados no momento. A vulnerabilidade pode ser explorada através da criação de um script malicioso com um ID de lista de reprodução arbitrário pertencente a outro usuário, resultando na exclusão da lista de reprodução do usuário sem o seu consentimento. Qualquer usuário com uma sessão ativa que seja induzido a enviar uma solicitação maliciosa é afetado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Navidrome anteriores à 0.52.0 **Descrição** O Navidrome é um servidor e reprodutor de música de código aberto baseado na web. A vulnerabilidade consiste na manipulação de parâmetros, permitindo que um invasor altere os valores dos parâmetros nas solicitações HTTP, o que lhe permite se passar por outro usuário. Isso pode ser feito alterando os valores dos parâmetros no corpo da solicitação, e o invasor precisa ser capaz de interceptar o tráfego HTTP para realizar esse ataque. Todos os usuários conhecidos são afetados, e um invasor pode obter o `ownerId` a partir das informações de playlists compartilhadas, o que significa que todos os usuários que compartilharam uma playlist também são afetados, pois podem ter sua identidade usurpada. **Recomendações** Para versões do Navidrome anteriores à 0.52.0, atualize para a versão 0.52.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a listas de reprodução compartilhadas e limitar a capacidade de interceptar o tráfego HTTP. Evite usar informações de listas de reprodução compartilhadas para minimizar o risco de exploração. Não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.

**Nome do software vulnerável e versões afetadas** Versões do iTop anteriores à 3.1.1 Versões do iTop anteriores à 3.2.0 **Descrição** O iTop é uma plataforma de gerenciamento de serviços de TI. Ao manipular consultas HTTP, um usuário pode injetar conteúdo malicioso nos campos utilizados para o valor do nome amigável do objeto. **Recomendações** Para versões anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior para resolver o problema. Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a consultas HTTP que possam manipular o valor do nome amigável do objeto até que um patch esteja disponível.