Zeeshan Shaikh

**Name of the Vulnerable Software and Affected Versions** Windows Snipping Tool (versões afetadas não especificadas) **Description** A neutralização inadequada de elementos especiais usados em um comando permite que um invasor não autorizado execute código arbitrário local e remotamente, afetando o sistema. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** iTunes versions prior to 12.12.9 for Windows **Description** The issue is related to a logic problem that has been addressed with improved checks. It may allow an attacker to elevate privileges. **Recommendations** For versions prior to 12.12.9, update to iTunes 12.12.9 for Windows to resolve the issue.

**Nome do software vulnerável e versões afetadas** Kaspersky VPN Secure Connection para Windows, versões até 21.5 **Descrição** O problema está relacionado à possibilidade de exclusão arbitrária de arquivos no sistema por meio do uso indevido do recurso “Excluir todos os dados e relatórios do serviço” por um invasor local autenticado. Isso pode permitir que um invasor eleve seus privilégios criando um link simbólico especialmente criado para uma pasta crítica no sistema e excluindo-a usando o recurso mencionado. A vulnerabilidade ameaça usuários remotos e que trabalham em casa. **Recomendações** Para o Kaspersky VPN Secure Connection para Windows, versões até 21.5, considere desativar o recurso “Excluir todos os dados e relatórios do serviço” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à seção “Инструменты поддержки” (Ferramentas de Suporte) do aplicativo para minimizar o risco de escalonamento de privilégios. Evite usar o recurso que permite a exclusão de dados de serviço e relatórios até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** VMware Tools para Windows, versões 11.x.y anteriores à 11.2.6 VMware Remote Console para Windows, versões 12.x anteriores à 12.0.1 VMware App Volumes, versões 2.x anteriores à 2.18.10 VMware App Volumes, versão 4 anterior à 2103 **Descrição** O problema está relacionado a uma vulnerabilidade de escalonamento de privilégios locais. Um invasor com acesso normal a uma máquina virtual pode explorar essa vulnerabilidade colocando um arquivo malicioso renomeado como `openssl.cnf` em um diretório sem restrições, permitindo que o código seja executado com privilégios elevados. A vulnerabilidade também está associada a um elemento de caminho de pesquisa não controlado. **Recomendações** Para o VMware Tools para Windows versões 11.x.y anteriores à 11.2.6, atualize para a versão 11.2.6 ou posterior. Para o VMware Remote Console para Windows versões 12.x anteriores à 12.0.1, atualize para a versão 12.0.1 ou posterior. Para o VMware App Volumes versões 2.x anteriores à 2.18.10, atualize para a versão 2.18.10 ou posterior. Para o VMware App Volumes versão 4 anterior à 2103, atualize para a versão 2103 ou posterior. Como solução alternativa temporária, considere restringir o acesso a diretórios sem restrições para minimizar o risco de exploração. Evite usar o arquivo `openssl.cnf` em configurações vulneráveis até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** EPESI version 1.8.2 rev20170830 **Description** The issue concerns Stored XSS in the Tasks Phonecall Notes Title parameter. **Recommendations** For EPESI version 1.8.2 rev20170830, avoid using the `Tasks Phonecall Notes Title` parameter until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** EPESI version 1.8.2 rev20170830 **Description** The issue concerns Stored XSS in the `Tasks Description` parameter. **Recommendations** For EPESI version 1.8.2 rev20170830, avoid using the `Tasks Description` parameter until the issue is resolved. Consider temporarily restricting access to this parameter to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.