X00Nullbit

**Nome do Software Vulnerável e Versões Afetadas** TrueConf Server versão 5.5.2.10813 **Descrição** Existe uma vulnerabilidade de Injeção de Fórmula CSV no TrueConf Server. Um usuário padrão pode injetar fórmulas de planilha prejudiciais em logs de chat exportados ao utilizar um Nome de Exibição especialmente elaborado. A vulnerabilidade permite a injeção de fórmulas maliciosas durante a exportação de logs de chat. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, sanitize o campo Nome de Exibição para prevenir a injeção de fórmulas de planilha.

**Nome do Software Vulnerável e Versões Afetadas** TrueConf Client versão 8.5.2 **Descrição** O software está suscetível a uma vulnerabilidade de sequestro de DLL. Um arquivo `wfapi.dll` manipulado pode ser utilizado por um atacante local para executar código arbitrário com os privilégios do usuário. O ataque envolve a exploração de uma falha na maneira como o aplicativo carrega bibliotecas de vínculo dinâmico. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, certifique-se de que o diretório do aplicativo e seus subdiretórios possuam permissões restritas para impedir a modificação não autorizada de arquivos DLL.

**Nome do Software Vulnerável e Versões Afetadas** TrueConf Server versão 5.5.2.10813 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado no campo de localização da Reunião, dentro da funcionalidade de Criar/Editar Conferência. O problema deve-se à sanitização inadequada da entrada fornecida pelo usuário no parâmetro `meeting room`. Um atacante pode injetar um payload malicioso no parâmetro `meeting room`, que é então armazenado e executado quando os usuários acessam a página de Informações da Conferência. A exploração bem-sucedida deste problema pode levar à Assunção Total de Conta (ATO). **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir ou desativar a funcionalidade de Criar/Editar Conferência até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** TrueConf versões 5.5.2.10813 **Descrição** Existe uma falha no servidor TrueConf versão 5.5.2.10813 que permite a injeção de código HTML arbitrário por meio do campo de descrição da conferência. Este problema está presente na funcionalidade de Criar/Editar conferência e é acionado quando uma vítima acessa a página de Informações da Conferência na URL `/info`. O HTML injetado pode ser utilizado para comprometer a integridade das informações exibidas. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, realize a sanitização de todas as entradas fornecidas pelo usuário no campo de descrição da conferência para prevenir a injeção de HTML.