Yamerooo123

**Name of the Vulnerable Software and Affected Versions** SuiteCRM versions prior to 7.15.1 SuiteCRM versions prior to 8.9.3 **Description** SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, the `return id` request parameter's value is copied into an HTML tag attribute, specifically an event handler, which is enclosed in double quotation marks. This can lead to a cross-site scripting (XSS) issue. **Recommendations** Update to SuiteCRM version 7.15.1 or later. Update to SuiteCRM version 8.9.3 or later. Implement a Content Security Policy (CSP) header to mitigate XSS.

**Nome do Software Vulnerável e Versões Afetadas** Dragon Age Origins versão 1.05 **Descrição** O serviço DAUpdaterSVC no Dragon Age Origins contém uma falha de caminho de serviço não entre aspas, permitindo que usuários modifiquem o caminho do arquivo executável utilizado pelo serviço. Este serviço é executado com privilégios de NT AUTHORITYSYSTEM, permitindo que atacantes escalem privilégios ao substituir ou inserir um executável malicioso no caminho do serviço. **Recomendações** Para o Dragon Age Origins versão 1.05, considere restringir o acesso ao serviço DAUpdaterSVC para minimizar o risco de exploração. Como solução alternativa temporária, evite utilizar o serviço até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do UnoPim anteriores à 0.1.5 **Descrição** Existe uma vulnerabilidade no processo de criação de usuário, permitindo a criação de uma nova conta de administrador com a opção de enviar uma imagem de perfil. Um invasor pode enviar um arquivo SVG malicioso contendo um script incorporado. Quando a imagem de perfil é acessada, o script incorporado é executado, levando ao potencial roubo de cookies de sessão. Esse problema pode levar ao sequestro de sessão e à escalada de privilégios, contornando efetivamente quaisquer proteções CSRF em vigor. **Recomendações** Para versões anteriores à 0.1.5, atualize para a versão 0.1.5 para corrigir a vulnerabilidade. Como solução temporária, considere desativar o recurso de upload de imagem de perfil no processo de criação de usuário até que a atualização seja aplicada. Restrinja o acesso à página de criação de usuário para minimizar o risco de exploração. Evite usar o recurso de imagem de perfil no processo de criação de usuário até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões 1.43.0 e anteriores do Watcharr Descrição: Uma vulnerabilidade em um token JWT fraco permite que invasores realizem escalonamento de privilégios utilizando um token JWT manipulado. Esse problema não se limita ao escalonamento de privilégios, mas também afeta todas as funções que exigem autenticação. Recomendações: Para as versões 1.43.0 e anteriores, considere desativar as funções de autenticação que dependem de tokens JWT até que uma correção esteja disponível. Restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões 0.1.3 e anteriores do UnoPim Descrição: O problema está relacionado a Cross Site Scripting (XSS) na função “Criar usuário”, permitindo que invasores realizem ataques XSS por meio de um documento SVG. Isso pode ser usado para roubar cookies. A vulnerabilidade é explorada por meio do recurso “Criar usuário”, onde um invasor pode usar um arquivo com extensão SVG para realizar o ataque XSS. Recomendações: Para as versões 0.1.3 e anteriores, considere desativar a função “Criar usuário” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao recurso “Criar usuário” para minimizar o risco de ataques XSS. Evite usar a função “Criar usuário” com extensões de arquivo SVG até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.