Yutaka Watanabe

**Nome do software vulnerável e versões afetadas** Versões do FitNesse anteriores à 20220319 **Descrição** Existe uma vulnerabilidade de cross-site scripting que pode permitir que um invasor remoto não autenticado execute um script arbitrário no navegador do usuário que estiver utilizando o produto e acessando um link com um determinado parâmetro especialmente criado. **Recomendações** Para versões anteriores à 20220319, atualize para uma versão lançada após 20220319 para resolver o problema. Como solução temporária, considere restringir o acesso a links com parâmetros especialmente criados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** pfSense CE versões 2.5.2 e anteriores pfSense Plus versões 21.05 e anteriores **Descrição** Uma vulnerabilidade de cross-site scripting permite que um invasor remoto injete um script arbitrário por meio de uma URL maliciosa. Isso permite que o invasor execute ações não autorizadas no sistema afetado. **Recomendações** Para as versões 2.5.2 e anteriores do pfSense CE, atualize para uma versão posterior à 2.5.2 para resolver o problema. Para as versões 21.05 e anteriores do pfSense Plus, atualize para uma versão posterior à 21.05 para resolver o problema. Como solução temporária, considere restringir o acesso a URLs potencialmente vulneráveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do pfSense CE anteriores à 2.6.0 Versões do pfSense Plus anteriores à 22.01 **Descrição** O problema está relacionado a uma validação inadequada de entradas, permitindo que um invasor remoto com privilégios para alterar as configurações do cliente ou servidor OpenVPN execute um comando arbitrário. Isso pode ser feito explorando a vulnerabilidade nas configurações do cliente ou servidor OpenVPN. **Recomendações** Para versões do pfSense CE anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Para versões do pfSense Plus anteriores à 22.01, atualize para a versão 22.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações do cliente ou servidor OpenVPN até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do pfSense CE anteriores à 2.6.0 Versões do pfSense Plus anteriores à 22.01 **Descrição** O problema está relacionado a um controle de acesso inadequado no pfSense CE e no pfSense Plus, permitindo que um invasor remoto com privilégios para alterar as configurações de NTP e GPS reescreva arquivos existentes no sistema de arquivos. Isso pode resultar na execução de comandos arbitrários. **Recomendações** Para versões do pfSense CE anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema. Para versões do pfSense Plus anteriores à 22.01, atualize para a versão 22.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações de NTP GPS para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** pfSense-pkg-WireGuard versões 0.1.5 a 0.1.5 3 pfSense-pkg-WireGuard versões 0.1.6 a 0.1.6 0 **Descrição** Uma falha de traversal de diretório permite que um invasor remoto autenticado induza um usuário do pfSense a visualizar um arquivo fora da pasta pública. **Recomendações** Para as versões 0.1.5 a 0.1.5 3 do pfSense-pkg-WireGuard, atualize para a versão 0.1.5 4 ou posterior. Para as versões 0.1.6 a 0.1.6 0 do pfSense-pkg-WireGuard, atualize para a versão 0.1.6 1 ou posterior.

**Nome do software vulnerável e versões afetadas: ELECOM NCC-EWF100RMWH2 (versões afetadas não especificadas) Descrição: Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores remotos sequestrem a autenticação de administradores e executem uma solicitação arbitrária por meio de um vetor não especificado. Isso pode resultar na alteração das configurações do dispositivo e/ou na ativação do daemon telnet. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do phpMyAdmin 4.x a 4.9.4 Versões do phpMyAdmin 5.x a 5.0.1 **Descrição** Foi identificada uma vulnerabilidade de injeção de SQL em que determinados parâmetros não são escapados adequadamente ao gerar consultas para ações de pesquisa em libraries/classes/Controllers/Table/TableSearchController.php. Isso permite que um invasor crie um nome de banco de dados ou tabela manipulado. O ataque pode ocorrer quando um usuário realiza operações de pesquisa específicas no banco de dados ou tabela maliciosos. **Recomendações** Para as versões 4.x a 4.9.4 do phpMyAdmin, atualize para a versão 4.9.5 ou posterior. Para as versões 5.x a 5.0.1 do phpMyAdmin, atualize para a versão 5.0.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do phpMyAdmin 4.x a 4.9.4 Versões do phpMyAdmin 5.x a 5.0.1 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL na qual código malicioso poderia ser usado para desencadear um ataque XSS por meio da recuperação e exibição de resultados. Isso ocorre em arquivos como tbl get field.php e libraries/classes/Display/Results.php. O invasor precisa ser capaz de inserir dados manipulados em determinadas tabelas do banco de dados, os quais, quando recuperados, por exemplo, pela guia “Browse”, podem desencadear o ataque XSS. **Recomendações** Para as versões 4.x a 4.9.4 do phpMyAdmin, atualize para a versão 4.9.5 ou posterior. Para as versões 5.x a 5.0.1 do phpMyAdmin, atualize para a versão 5.0.2 ou posterior.