Adepts Of 0Xcc

**Nome do software vulnerável e versões afetadas** GTB Central Console versão 15.17.1-30814.NG **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de comando no método `systemSettingsDnsDataAction` do GTB Central Console, especificamente no endpoint `/old/react/v1/api/system/dns/data`. Essa vulnerabilidade pode ser explorada por um invasor autenticado para injetar comandos arbitrários e comprometer a plataforma. A vulnerabilidade é causada pela falta de filtragem dos parâmetros passados para a função `exec()`. **Recomendações** Para a versão 15.17.1-30814.NG do GTB Central Console, considere desativar o método `systemSettingsDnsDataAction` até que um patch esteja disponível para prevenir ataques de injeção de comando. Restrinja o acesso ao endpoint `/old/react/v1/api/system/dns/data` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GTB Central Console versão 15.17.1-30814.NG **Descrição** Foi descoberta uma falha no método `setTermsHashAction` em `/opt/webapp/lib/PureApi/CCApi.class.php`, que é vulnerável a uma injeção de SQL não autenticada através do endpoint da API `/ccapi.php`. Isso permite que um invasor altere a senha do administrador para um valor conhecido, executando consultas SQL arbitrárias. **Recomendações** Para o GTB Central Console versão 15.17.1-30814.NG, como solução temporária, considere desativar o método `setTermsHashAction` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/ccapi.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.