0Xbassia

The MagicForm WordPress plugin through 0.1.3 does not properly validate the type of files uploaded through an unauthenticated AJAX action when a form's per-field extension allowlist is left empty, allowing unauthenticated attackers to upload PHP files and execute arbitrary code on the server.

**Nome do Software Vulnerável e Versões Afetadas** Schema & Structured Data for WP & AMP versões anteriores a 1.60 **Description** O plugin não verifica as capacidades do usuário em seus manipuladores de upload de arquivos AJAX no frontend e não valida o conteúdo real dos arquivos carregados em relação ao tipo de mídia pretendido do endpoint. Isso permite que usuários não autenticados façam o upload de qualquer tipo de arquivo aceito pela biblioteca de mídia do WordPress por meio de endpoints que deveriam aceitar apenas imagens ou vídeos. **Recommendations** Atualize para a versão 1.60 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** form-data-objectizer versões anteriores a 1.0.1 **Descrição** O software não filtra ` proto `, `constructor` ou `prototype` ao converter FormData em objetos usando chaves de formulário com notação de colchetes. Um invasor pode enviar um único campo de formulário HTTP com um nome começando com ` proto [...]` para mutar o `Object.prototype`, resultando em poluição de protótipo (prototype pollution) em todo o processo Node.js. Isso ocorre dentro das funções `treatInitial()` e `treatSecond()` no arquivo `index.cjs`. Este problema pode ser explorado para burlar verificações de segurança, injetar valores de configuração, interromper a renderização de templates ou causar a negação de serviço ao travar o processo do worker. **Recomendações** Atualize para a versão 1.0.1.

**Nome do Software Vulnerável e Versões Afetadas** parse-nested-form-data versões anteriores a 1.0.1 **Description** A função `parseFormData()` processa nomes de campos FormData em notação de colchetes e pontos para objetos aninhados sem filtrar chaves de propriedades reservadas. Um invasor pode usar um nome de campo FormData que comece com ` proto ` ou contenha `. proto .` no meio do caminho para fazer com que o analisador percorra o `Object.prototype` e atribua propriedades a ele. Isso resulta em poluição de protótipo (prototype pollution), onde a cadeia de protótipos de cada objeto simples no processo em execução é contaminada. O problema reside na função `handlePathPart()` em `src/index.ts`, que não rejeita chaves reservadas durante o processamento de segmentos de caminho do tipo objeto. Isso pode levar à corrupção do estado da aplicação, alteração do fluxo de controle ou negação de serviço em aplicações que processam FormData controlado por invasores, como servidores HTTP. **Recommendations** Atualize para a versão 1.0.1. Como medida paliativa temporária, valide os nomes dos campos para garantir que eles não contenham ` proto `, `constructor` ou `prototype` antes de chamar a função `parseFormData()`.

**Nome do Software Vulnerável e Versões Afetadas** deepobj versões anteriores a 1.0.3 **Descrição** A poluição de protótipo ocorre quando os caminhos de propriedade contêm ` proto `, `constructor` ou `prototype`. Este problema surge quando os caminhos de propriedade são expostos como entrada do usuário, permitindo que um invasor modifique o protótipo de classes de objetos base. **Recomendações** Atualize para a versão 1.0.3.

**Nome do Software Vulnerável e Versões Afetadas** RVF versões 6.0.0 até 6.0.3 RVF versões 7.0.0 até 7.0.1 **Description** A função `setPath` no `@rvf/set-get` (utilizada pelo `@rvf/core` para achatar dados de formulários recebidos em um objeto aninhado) não bloqueia as chaves ` proto `, `constructor` ou `prototype` ao percorrer um caminho. Como os nomes dos campos nos dados de formulários enviados são passados diretamente para `setPath` via `preprocessFormData` (e através de `parseFormData` ou `validate`), um invasor pode definir propriedades arbitrárias no `Object.prototype` do processo do servidor em execução. Trata-se de uma primitiva de poluição de protótipo (prototype pollution)—uma condição onde um invasor pode manipular o protótipo de objetos base para alterar o comportamento da aplicação—que é acessível por padrão, sem a necessidade de configuração especial. Qualquer endpoint que aceite um formulário via `parseFormData` ou execute um validador criado com `createValidator()` é afetado. Isso pode levar ao bypass de verificações de segurança, injeção de valores de configuração não pretendidos, falhas na renderização de templates ou a interrupção do processo do worker (DoS). **Recommendations** Atualizar as versões 6.0.0 até 6.0.3 do RVF para a versão 6.0.4. Atualizar as versões 7.0.0 até 7.0.1 do RVF para a versão 7.0.2.