Xproxyx

Nome do Software Vulnerável e Versões Afetadas: Versões do InstantCMS até a 2.17.3 Descrição: O InstantCMS é um sistema de gerenciamento de conteúdo gratuito e de código aberto. Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) cega que permite a atacantes remotos autenticados fazer requisições HTTP/HTTPS arbitrárias através do parâmetro `package`. Isso é possível dentro da funcionalidade do instalador. A exploração pode levar à varredura da rede local, chamada de serviços locais e suas funções, realização de um ataque de Negação de Serviço (DoS) e divulgação do endereço IP real de um servidor caso ele esteja atrás de um proxy reverso. Também é possível esgotar os recursos do servidor mediante o envio de diversas requisições. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do NamelessMC anteriores à 2.2.3 Descrição: O NamelessMC é um software para websites de servidores de Minecraft. Existe uma vulnerabilidade de cross-site scripting (XSS) no componente do editor de texto do painel, permitindo potencialmente que atacantes remotos autenticados injetem scripts web ou HTML arbitrários. Recomendações: Atualize para a versão 2.2.4 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do NamelessMC anteriores a 2.2.4 Descrição: O NamelessMC é um software para websites de servidores de Minecraft. Existe uma vulnerabilidade de divulgação de informações sensíveis nas versões anteriores a 2.2.4, permitindo que um atacante remoto não autenticado obtenha informações sensíveis, como o caminho absoluto do código fonte, através do parâmetro `list`. Recomendações: Atualize para a versão 2.2.4 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do NamelessMC anteriores à 2.2.4 Descrição: O NamelessMC é um software de website para servidores de Minecraft. Existe uma vulnerabilidade de cross-site scripting (XSS) no NamelessMC em versões anteriores à 2.2.4, permitindo que atacantes autenticados injetem scripts web ou HTML arbitrários através do parâmetro `default keywords`. Recomendações: Atualize o NamelessMC para a versão 2.2.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog até 2.5.17 **Descrição** O Emlog é um sistema de construção de sites vulnerável a uma falha de Cross-Site Scripting (XSS). A sanitização insuficiente do parâmetro `keyword` permite que atacantes remotos injetem scripts web ou HTML arbitrários. A exploração bem-sucedida requer que um usuário clique em um link especialmente elaborado, permitindo a execução de código JavaScript no navegador do administrador. **Recomendações** Versões anteriores à 2.5.17 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog até a 2.5.17 (inclusive) **Descrição** O Emlog é um sistema de construção de sites de código aberto vulnerável a uma falha de cross-site scripting (XSS). Um atacante autenticado pode injetar scripts web ou HTML arbitrários através do parâmetro `siteurl`, resultando em XSS Armazenado. Clicar em um link contendo o código malicioso resulta na sua execução. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog até 2.5.17 **Descrição** O Emlog é um sistema para criação de sites. Existe uma vulnerabilidade de cross-site scripting (XSS) que permite que atacantes remotos autenticados injetem scripts web ou HTML arbitrários por meio da funcionalidade de upload de arquivos. Especificamente, um atacante pode fazer upload de um arquivo SVG contendo código JavaScript, que é então executado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog até a 2.5.17 **Descrição** O Emlog é um sistema de construção de sites. Existe uma vulnerabilidade de cross-site scripting (XSS) nas versões até a 2.5.17 inclusive, permitindo que atacantes remotos injetem scripts web arbitrários ou HTML através dos parâmetros `comment` e `comname`. O XSS refletido requer que a vítima envie solicitações POST. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.