William Summerhill

**Nome do software vulnerável e versões afetadas** Global RADAR BSA Radar, versões 1.6.7234.24750 e anteriores **Descrição** O problema diz respeito a um ataque de script entre sites (XSS) armazenado por meio do recurso “Atualizar perfil do usuário”. Especificamente, os parâmetros `Firstname` e `Lastname` estão vulneráveis. **Recomendações** Para as versões 1.6.7234.24750 e anteriores do Global RADAR BSA Radar, considere restringir o uso dos parâmetros `Firstname` e `Lastname` no recurso “Atualizar Perfil do Usuário” até que uma correção esteja disponível. Evite usar esses parâmetros para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Global RADAR BSA Radar, versões 1.6.7234.24750 e anteriores **Descrição** A vulnerabilidade apresenta a falta de controles de autorização válidos em várias funções, o que pode permitir a manipulação e o controle indevido de contas de usuário caso seja explorada com sucesso. As funções vulneráveis expostas são: ChangePassword, SaveUserProfile e GetUser. **Recomendações** Para as versões 1.6.7234.24750 e anteriores do Global RADAR BSA Radar, considere desativar as funções ChangePassword, SaveUserProfile e GetUser até que uma correção esteja disponível para evitar uma possível exploração. Restrinja o acesso a essas funções para minimizar o risco de manipulação e apropriação de contas.

**Nome do software vulnerável e versões afetadas** Global RADAR BSA Radar, versões 1.6.7234.24750 e anteriores **Descrição** Existe uma vulnerabilidade de escalonamento de privilégios que permite que um usuário autenticado com privilégios limitados eleve seus privilégios a direitos de administrador, especificamente à função BankAdmin, ao modificar os dados do SaveUser. **Recomendações** Para as versões 1.6.7234.24750 e anteriores do Global RADAR BSA Radar, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a escalada de privilégios.

**Nome do software vulnerável e versões afetadas** Global RADAR BSA Radar, versões 1.6.7234.24750 e anteriores **Descrição** A vulnerabilidade permite que usuários visualizem arquivos locais no servidor web manipulando os parâmetros `FileName` e `FilePath` na URL, ou ao usar um proxy, expondo potencialmente arquivos confidenciais ou de configuração. Isso é possível por meio do `downloadFile.ashx` na seção Administrador do módulo Vigilância. **Recomendações** Para as versões 1.6.7234.24750 e anteriores do Global RADAR BSA Radar, como solução temporária, considere restringir o acesso ao arquivo `downloadFile.ashx` na seção Administrador do módulo Vigilância para minimizar o risco de exploração. Evite usar os parâmetros `FileName` e `FilePath` na URL afetada até que o problema seja resolvido.