0X4C616E

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** O manipulador de código de autorização OAuth 2.0 não verifica o status da conta. Isso permite que usuários suspensos, banidos ou ex-funcionários, especificamente aqueles com a variável `uIsActive` definida como 0, se autentiquem com sucesso via OAuth e obtenham tokens de API válidos. **Recomendações** Atualize para uma versão posterior a 9.5.0.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.0 **Descrição** O controlador de edição de perfil de usuário passa todo o array POST bruto para a função `UserInfo::update()` sem a utilização de uma lista branca de campos. Isso permite que usuários registrados alterem senhas sem a necessidade de fornecer a senha atual para reautorização. Além disso, essa falha permite que usuários desativem o pinning de IP por usuário no validador de sessão, um recurso de segurança projetado para detectar o sequestro de sessão (session hijacking). **Recomendações** Atualize para a versão 9.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões 9.5.0 e anteriores **Description** O bloco RSS Displayer aceita uma URL de feed de editores de página e a busca no servidor sem a validação adequada. Essa falta de validação permite bypasses de redirecionamento interno, onde um invasor pode potencialmente redirecionar solicitações para recursos internos. **Recommendations** Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao bloco RSS Displayer para editores de página não confiáveis.