Aaron Haymore

**Nome do software vulnerável e versões afetadas** Versões do RaspAP anteriores à 3.1.5 **Descrição** O problema está relacionado ao arquivo restapi.service (/lib/systemd/system/restapi.service) no RaspAP, um software para a criação de roteadores sem fio baseado no Debian. Ela é causada pela falta de medidas para neutralizar elementos especiais usados em comandos, devido à restrição de acesso insuficiente para o grupo de usuários www-data. Isso pode permitir que um invasor remoto eleve privilégios e execute comandos arbitrários. O usuário www-data tem acesso de gravação ao arquivo restapi.service e também possui privilégios Sudo para executar vários comandos críticos sem senha. **Recomendações** Para versões anteriores à 3.1.5, atualize para a versão 3.1.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de gravação ao arquivo restapi.service para o usuário www-data e limitar os privilégios Sudo para impedir a execução de comandos críticos sem senha.

**Name of the Vulnerable Software and Affected Versions** dmpop Mejiro versions prior to 3096393 **Description** The issue is a Reflected Cross-Site Scripting (XSS) vulnerability that allows attackers to run arbitrary code via a crafted string in the metadata of uploaded images. This can be exploited by attackers to execute malicious scripts. **Recommendations** For versions prior to 3096393, update to a version that includes the fix for this issue to prevent exploitation. As a temporary workaround, consider restricting the upload of images or limiting access to the image upload feature until a patch is available. Avoid using the vulnerable image upload functionality until the issue is resolved.