William Vu

**Nome do software vulnerável e versões afetadas: Sage X3 System (versões afetadas não especificadas) Descrição: A vulnerabilidade permite que um usuário autenticado com acesso de desenvolvedor injete comandos do sistema operacional por meio da variável `CHAINE` utilizada pela aplicação web. É importante ressaltar que essa configuração de desenvolvedor não deve ser implantada em ambiente de produção. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Ivanti MobileIron Core anteriores à 11.1.0.0 Descrição: A vulnerabilidade permite que um invasor escape do shell clish restrito ao abusar do comando ‘install rpm url’. Isso foi corrigido na versão 11.1.0.0. Recomendações: Para versões anteriores à 11.1.0.0, atualize para a versão 11.1.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando ‘install rpm url’ até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas: Versões do Ivanti MobileIron Core anteriores à 11.1.0.0 Descrição: A vulnerabilidade permite que um invasor escape do shell clish restrito ao abusar do comando ‘install rpm info detail’. Isso foi corrigido na versão 11.1.0.0. Recomendações: Para versões anteriores à 11.1.0.0, atualize para a versão 11.1.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando ‘install rpm info detail’ até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2 Versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3 Versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6 Versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8 Descrição: Um pacote especialmente criado pode provocar uma resposta do componente AdxDSrv.exe que revela o diretório de instalação do produto. Esse problema pode ser combinado com outra vulnerabilidade para permitir a execução remota completa de código (RCE). Recomendações: Para versões do Sage X3 anteriores à 9 com Syracuse 9.22.7.2, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 HR & Payroll anteriores à 9 com Syracuse 9.24.1.3, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 11 com Syracuse 11.25.2.6, atualize para o AdxAdmin 93.2.53 ou posterior. Para versões do Sage X3 anteriores à 12 com Syracuse 12.10.2.8, atualize para o AdxAdmin 93.2.53 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Advantech iView anteriores à 5.7.03.6112 **Descrição** O problema diz respeito à falta de autenticação no acesso à configuração do software afetado, o que pode permitir que um invasor não autorizado modifique a configuração e execute código. **Recomendações** Para versões anteriores à 5.7.03.6112, atualize para a versão 5.7.03.6112 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Advantech iView anteriores à v5.7.03.6112 **Descrição** A vulnerabilidade permite que um invasor execute traversal de diretório, possibilitando que ele leia arquivos confidenciais. **Recomendações** Para versões do Advantech iView anteriores à v5.7.03.6112, atualize para a versão v5.7.03.6112 ou posterior para resolver o problema.