Yoko Kho

**Name of the Vulnerable Software and Affected Versions** Zabbix (affected versions not specified) **Description** The regular expression used for validating host and event action script input allows bypass of the validation check when multiline mode is enabled. Specifically, the use of anchors (`^` and `$`) in administrator-defined input validation can be circumvented by injecting a newline character. This allows authenticated users to inject and execute shell commands. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 18 Versões do macOS anteriores ao Sequoia 15 **Descrição** O problema foi resolvido com melhorias na interface do usuário. Acessar um site malicioso pode levar à falsificação da barra de endereços. **Recomendações** Para versões do Safari anteriores à 18, atualize para o Safari 18 para resolver o problema. Para versões do macOS anteriores ao Sequoia 15, atualize para o macOS Sequoia 15 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do WD Discovery anteriores à 5.0.589 **Descrição** O problema está relacionado a uma configuração incorreta nas definições do ambiente Node.js do WD Discovery, o que poderia permitir a execução de código utilizando a variável de ambiente `ELECTRON RUN AS NODE`. Qualquer aplicativo malicioso operando com permissões de usuário padrão pode explorar essa vulnerabilidade, permitindo a execução de código dentro do contexto do aplicativo WD Discovery. O vetor de ataque requer que a vítima tenha o aplicativo WD Discovery instalado em seu dispositivo. **Recomendações** Para versões anteriores à 5.0.589, atualize para a versão 5.0.589, que corrige esta vulnerabilidade desativando certos recursos e fusíveis no Electron. Como solução alternativa temporária, considere restringir o acesso à variável de ambiente `ELECTRON RUN AS NODE` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WatchGuard AuthPoint Password Manager para MacOS, versões anteriores à 1.0.6 **Descrição** O problema está relacionado à neutralização inadequada de elementos especiais utilizados em um comando, também conhecida como vulnerabilidade de “injeção de comando”. Isso permite que um invasor com acesso local execute código no contexto do aplicativo AuthPoint Password Manager. **Recomendações** Para versões anteriores à 1.0.6, atualize para a versão 1.0.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao aplicativo AuthPoint Password Manager até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Microsoft Edge para Android (baseado no Chromium) (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros no tratamento de arquivos, especificamente cookies, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Remote Desktop Manager versions 2023.3.9.3 and earlier **Description** The issue allows an attacker to execute code via the `DYLIB INSERT LIBRARIES` environment variable. This is a code injection problem in Remote Desktop Manager on macOS. **Recommendations** For Remote Desktop Manager versions 2023.3.9.3 and earlier, consider restricting the use of the `DYLIB INSERT LIBRARIES` environment variable to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Navegador Whale para iOS, versões anteriores à 1.14.0 **Descrição** O problema está relacionado a uma interface de usuário inconsistente que permite que um invasor oculte a barra de endereços, o que pode levar à falsificação da barra de endereços. **Recomendações** Para o navegador Whale para iOS em versões anteriores à 1.14.0, atualize para a versão 1.14.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 13.1.2 Versões do macOS Big Sur anteriores à 11.0.1 **Descrição** Um problema de inconsistência na interface do usuário foi corrigido com um gerenciamento de estado aprimorado. Acessar um site malicioso pode levar à falsificação da barra de endereços. **Recomendações** Para versões do Safari anteriores à 13.1.2, atualize para o Safari 13.1.2 ou posterior para resolver o problema. Para versões do macOS Big Sur anteriores à 11.0.1, atualize para o macOS Big Sur 11.0.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Western Digital WD Discovery, versões anteriores à 4.0.251.0 **Descrição** Um aplicativo malicioso executado com permissões de usuário padrão poderia potencialmente executar código no processo do aplicativo WD Discovery por meio da injeção de biblioteca, utilizando variáveis de ambiente DYLD. **Recomendações** Para versões anteriores à 4.0.251.0, atualize para a versão 4.0.251.0 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Server versions prior to 9.0.54 Nextcloud Server versions prior to 10.0.1 ownCloud Server versions prior to 9.0.6 ownCloud Server versions prior to 9.1.2 **Description** The issue concerns content spoofing in the dav app, where the exception message displayed on the DAV endpoints, such as "/api/dav", contained partially user-controllable input. This could lead to a potential misrepresentation of information. **Recommendations** For Nextcloud Server versions prior to 9.0.54, update to version 9.0.54 or later. For Nextcloud Server versions prior to 10.0.1, update to version 10.0.1 or later. For ownCloud Server versions prior to 9.0.6, update to version 9.0.6 or later. For ownCloud Server versions prior to 9.1.2, update to version 9.1.2 or later.

**Name of the Vulnerable Software and Affected Versions** Apple iTunes versions prior to 12.4 **Description** The issue is related to an untrusted search path vulnerability in the installer. This vulnerability can be exploited by a local user to gain privileges via a Trojan horse DLL in the current working directory. **Recommendations** For Apple iTunes versions prior to 12.4, update to version 12.4 or later to resolve the issue. As a temporary workaround, consider restricting the execution of DLLs from untrusted sources in the current working directory until a patch is applied. Avoid using the installer in potentially compromised environments to minimize the risk of exploitation.