Adrgs

**Nome do Software Vulnerável e Versões Afetadas** react-router versões 7.0.0 até 7.14.x @remix-run/server-runtime versões 2.10.0 até 2.17.4 **Description** Certas requisições manipuladas podem causar a expansão ilimitada de caminhos no endpoint " manifest", levando ao consumo desproporcional de recursos do servidor. Isso resulta na degradação do tempo de resposta ou na indisponibilidade do serviço para os usuários finais. Este problema afeta aplicações em React Router Framework Mode e aplicações Remix, mas não impacta aquelas que utilizam Declarative Mode (`<BrowserRouter>`) ou Data Mode (`createBrowserRouter`/`<RouterProvider>`). **Recommendations** Atualize o react-router para a versão 7.15.0. Atualize o @remix-run/server-runtime para a versão 2.17.5.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.3 **Descrição** A função `removeSecrets()` no SDK do servidor falha ao mascarar campos de configuração de fonte de dados, a menos que seu tipo de esquema seja `DatasourceFieldType.PASSWORD`. Como a integração do Snowflake define o campo `privateKey` como `SENSITIVE LONGFORM`, ele é ignorado pelo filtro. Um usuário autenticado com permissões BASIC e qualquer função de aplicativo pode acessar o endpoint '/api/datasources/:datasourceId' para recuperar a chave privada PEM (Privacy Enhanced Mail) do Snowflake em texto simples. **Recomendações** Atualize para a versão 3.38.3.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.39.0 **Descrição** O componente de Texto nesta plataforma de baixo código de código aberto renderiza markdown atribuindo a saída da função `marked.parse(markdown)` diretamente ao `innerHTML` sem utilizar um sanitizador. Isso cria um sumidouro de Cross-Site Scripting (XSS) armazenado, onde XSS é uma falha que permite a um invasor injetar scripts maliciosos em páginas da web visualizadas por outros usuários. Qualquer coluna vinculada a um componente de Texto no modo Markdown pode ser explorada por qualquer usuário básico do aplicativo que possua permissões de escrita na tabela subjacente. **Recomendações** Atualizar para a versão 3.39.0.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.39.0 **Descrição** A função `fetchToken()` no SDK OAuth2 realiza uma requisição POST para uma URL fornecida pelo construtor utilizando `node-fetch`. Este processo ignora a verificação `isBlacklisted` utilizada por todos os outros caminhos de busca externa no código. Além disso, o esquema Joi para a URL OAuth2 não possui restrições de esquema ou host. **Recomendações** Atualize para a versão 3.39.0.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.39.0 **Descrição** Existe um problema na plataforma low-code de código aberto onde o endpoint '/api/public/v1/roles/assign' é protegido pelo middleware `builderOrAdmin`. Este middleware permite a passagem de qualquer usuário que seja um construtor (builder) para o ID do aplicativo especificado no cabeçalho `x-budibase-app-id`, incluindo construtores globais e construtores com escopo de espaço de trabalho. O controlador então distribui o corpo da requisição para a chamada do SDK, permitindo que o SDK conceda `builder.global=true` ou `admin.global=true` para quaisquer IDs de usuário fornecidos pelo chamador. Isso permite que um construtor com escopo de espaço de trabalho e uma chave de API promova a si mesmo ou a outros usuários a administrador global, resultando em escalonamento de privilégios em todo o tenant a partir de uma função de nível de aplicativo. Isso está disponível para usuários com uma licença Enterprise que habilita o recurso `EXPANDED PUBLIC API`. **Recomendações** Atualizar para a versão 3.39.0.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.2 **Description** Existe uma falha de bypass de autorização no roteador SCIM em `packages/worker/src/api/routes/global/scim.ts`. O roteador utiliza apenas os middlewares `requireSCIM` e `doInScimContext`, não implementando uma verificação de função (role check). Consequentemente, qualquer usuário autenticado, incluindo aqueles com a função BASIC ou construtores com escopo de workspace, pode acessar endpoints SCIM para realizar operações de Criação, Leitura, Atualização e Exclusão (CRUD) em todos os usuários e grupos do tenant, permitindo potencialmente a exclusão de administradores ou o sequestro de contas. **Recommendations** Atualize para a versão 3.38.2.

**Nome do Software Vulnerável e Versões Afetadas** pyLoad versões anteriores a 0.5.0b3.dev100 **Description** Existe um problema onde o template `packages.js` interpola URLs de links armazenadas em um literal de template dentro de HTML com aspas simples e escreve o resultado no DOM usando a função `$(div).html(html)`. Como não ocorre escape entre o valor da API e o `innerHTML`, um invasor pode enviar um link de pacote contendo uma aspa simples e um manipulador de eventos para romper o atributo e executar JavaScript arbitrário no navegador de qualquer operador que abra a visualização de downloads. Isso é facilitado pela ausência de uma Política de Segurança de Conteúdo (CSP) para restringir scripts inline ou manipuladores de eventos. Detalhes técnicos incluem: - **API Endpoints**: `/api/get package data` (retorna URLs armazenadas), `/api/add package` (armazena links fornecidos pelo invasor) e `/flash/add` (permite que invasores de rede não autenticados alcancem o mesmo ponto quando o ClickNLoad está ativado). - **Vulnerable Parameters or Variables**: `link.url`, `link.name`, `link.statusmsg`, `link.error`, `link.format size`, `link.plugin`, `link.icon` e `link.id`. **Recommendations** Atualize para a versão 0.5.0b3.dev100. Como mitigação temporária, restrinja o acesso aos endpoints `/api/add package` e `/flash/add` apenas a usuários confiáveis. Implemente uma Política de Segurança de Conteúdo (CSP) rigorosa, como `default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'`, para bloquear manipuladores de eventos inline.

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões anteriores a 8.32.0 **Descrição** Chamadores anônimos podem acessar os endpoints '/forms/chromium/convert/url' e '/forms/chromium/screenshot/url' usando o parâmetro `url` com o esquema `file:///tmp/`. Embora exista uma lista de negação para evitar o acesso arbitrário a arquivos, ela isenta intencionalmente o diretório `/tmp/` para permitir que certas rotas carreguem ativos locais. No entanto, as rotas de URL não implementam a guarda `AllowedFilePrefixes`, que deveria limitar essas leituras. Isso permite que um invasor enumere o diretório `/tmp/` e leia arquivos de origem brutos de outras solicitações de conversão simultâneas, como documentos HTML, Markdown ou Office carregados, que são então retornados como saída de PDF renderizada. Isso pode levar à exfiltração de documentos entre locatários em implantações multi-tenant. **Recomendações** Atualize para a versão 8.32.0. Como medida paliativa temporária, restrinja o acesso aos endpoints '/forms/chromium/convert/url' e '/forms/chromium/screenshot/url' apenas a usuários confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões anteriores a 8.32.0 **Descrição** Um problema de DNS rebinding existe na função `FilterOutboundURL`. O software resolve um nome de host para verificá-lo contra uma lista de negação de endereços privados, mas descarta os endereços resolvidos. Como o Chromium realiza sua própria resolução de DNS independente ao navegar para uma URL, um invasor que controle um nome de host com um Time to Live (TTL) curto pode retornar um IP público durante a verificação inicial e um IP privado durante a conexão real. Isso cria uma janela de tempo entre a verificação realizada pelo manipulador `Fetch.requestPaused` e a conexão TCP. Consequentemente, um invasor não autenticado pode ignorar a lista de negação para acessar serviços HTTP internos na interface de loopback, endpoints de metadados de nuvem ou outros endereços de rede privada, recebendo a resposta interna renderizada como um PDF. **Recomendações** Atualize para a versão 8.32.0. Como medida paliativa temporária, restrinja o acesso à rede ou use a flag `--chromium-host-resolver-rules` para mapear manualmente nomes de host para IPs específicos.

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões anteriores a 8.32.0 **Descrição** Seis endpoints de API ('/pdfengines/merge', '/pdfengines/split', '/libreoffice/convert', '/chromium/convert/url', '/chromium/convert/html' e '/chromium/convert/markdown') permitem que chamadores anônimos leiam arquivos PDF do sistema de arquivos do container. O problema ocorre porque esses endpoints não validam adequadamente as variáveis `stampExpression` e `watermarkExpression` quando nenhum arquivo é enviado, mas as variáveis `stampSource` ou `watermarkSource` são definidas como 'pdf'. Isso permite que um invasor especifique um caminho de arquivo arbitrário, que é então processado pela ferramenta pdfcpu e retornado ao chamador como um PDF composto. Isso pode ser usado para acessar documentos PDF confidenciais que o processo Gotenberg tem permissão para ler, incluindo aqueles em diretórios do host montados via bind. **Recomendações** Atualize para a versão 8.32.0. Como medida paliativa temporária, restrinja o acesso aos endpoints de API afetados apenas a usuários confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Gotenberg versões anteriores a 8.32.0 **Descrição** Uma falha no middleware de webhook permite que um chamador anônimo cause a queda do processo. O middleware inicia uma goroutine que mantém uma referência ao `echo.Context` após o manipulador síncrono retornar `ErrAsyncProcess` e o contexto ser reciclado de volta para o `sync.Pool`. Se uma requisição concorrente reivindicar este contexto reciclado e chamar `c.Reset()`, o armazenamento é limpo. Quando a goroutine do webhook subsequentemente atinge a função `hardTimeoutMiddleware`, uma asserção de tipo não verificada em uma entrada de armazenamento nula para a variável `logger` causa um pânico fora de qualquer escopo `recover()`, levando ao travamento do processo. Isso pode ser desencadeado por um estresse de aproximadamente 24 requisições de webhook e 60 requisições `GET /version`. **Recomendações** Atualize para a versão 8.32.0. Como medida paliativa temporária, restrinja o acesso ao caminho do webhook apenas a usuários autorizados para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Uma injeção de SQL não autenticada existe nos métodos `BuiltinCaptcha::garbageCollector()` e `BuiltinCaptcha::saveCaptcha()`. O problema ocorre quando cabeçalhos User-Agent não sanitizados são interpolados em consultas DELETE e INSERT. Atacantes não autenticados podem explorar o endpoint ' /api/captcha' criando cabeçalhos User-Agent maliciosos para realizar uma injeção de SQL cega baseada em tempo, permitindo a extração de dados sensíveis, como credenciais de usuário, tokens de administrador e credenciais SMTP do banco de dados. Mais de 1.200 dispositivos potencialmente afetados foram identificados. **Recomendações** Atualize para a versão 4.1.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Existe uma restrição inadequada de tentativas excessivas de autenticação no endpoint "/admin/check". Este endpoint aceita parâmetros `user-id` arbitrários sem vinculação de sessão ou limitação de taxa. Atacantes não autenticados podem burlar a autenticação de dois fatores e obter acesso administrativo total enviando solicitações POST com valores de token sequenciais para realizar força bruta no código TOTP (Time-based One-Time Password, um código temporário gerado por um aplicativo) de seis dígitos de um usuário. **Recomendações** Atualize para a versão 4.1.2 ou posterior. Restrinja o acesso ao endpoint "/admin/check" para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Um problema de path traversal existe na função `deleteClientFolder()`. Isso permite que administradores com a permissão `INSTANCE DELETE` excluam diretórios arbitrários. Um invasor pode conseguir isso enviando sequências de travessia no parâmetro de URL `client` para excluir recursivamente diretórios fora do escopo da pasta de cliente pretendida. **Recomendações** Atualize para a versão 4.1.2 ou posterior. Como medida paliativa temporária, restrinja a permissão `INSTANCE DELETE` apenas a administradores altamente confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Existe um problema na função `setTokenData()` da classe `CurrentUser` que permite que atacantes autenticados executem comandos SQL arbitrários. Isso ocorre por meio da injeção de reivindicações (claims) maliciosas de tokens OAuth. Especificamente, atacantes que utilizam contas do Azure AD contendo metacaracteres SQL em seus nomes de exibição ou em JSON Web Tokens (JWT)—um meio compacto e seguro para URLs de representar reivindicações a serem transferidas entre duas partes—podem romper literais de string para executar consultas de banco de dados não autorizadas. **Recomendações** Atualize para a versão 4.1.2 ou posterior. Como medida paliativa temporária, restrinja o uso da função `setTokenData()` ou limite as reivindicações de tokens OAuth de provedores não confiáveis até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Um problema de divulgação de informações existe nos métodos `getIdFromSolutionId()` e `getFaqBySolutionId()`, que carecem de filtragem de permissões adequada. Isso permite que atacantes não autenticados enumerem entradas de FAQ restritas, iterando sequencialmente os IDs de solução através do endpoint '/solution id {id}.html'. Quando um ID válido é solicitado, o servidor realiza um redirecionamento 301 para uma URL que contém a categoria do FAQ, o ID interno, o idioma e uma versão simplificada (slug) do título. Esses metadados sensíveis são vazados através do cabeçalho `Location` do redirecionamento, links canônicos da página, URLs de compartilhamento social e campos de formulário ocultos, mesmo que o corpo do conteúdo principal esteja restrito. O método `getFaqBySolutionId()` agrava ainda mais a situação ao utilizar uma consulta de fallback que ignora explicitamente os filtros de permissão. **Recomendações** Atualize para a versão 4.1.2 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint '/solution id {id}.html' apenas a usuários autenticados com as permissões apropriadas.

**Nome do Software Vulnerável e Versões Afetadas** Parse Server versões anteriores a 8.6.76 Parse Server versões anteriores a 9.9.0-alpha.2 **Description** Existe uma condição de corrida (race condition) no caminho de login de senha de uso único (OTP) de MFA via SMS. Isso permite que duas solicitações simultâneas ao endpoint '/login' usando o mesmo OTP tenham sucesso e recebam tokens de sessão válidos, violando a propriedade de uso único do OTP. Para que isso seja explorado, um invasor deve possuir a senha da vítima e interceptar o OTP de SMS ativo por meio de métodos como SIM swap, espelhamento de rede ou phishing relay, e então executar a solicitação simultaneamente ao usuário legítimo. **Recommendations** Atualizar para a versão 8.6.76. Atualizar para a versão 9.9.0-alpha.2. Desativar o MFA via SMS e utilizar TOTP em seu lugar. Implementar um limitador de taxa (rate limiter) no endpoint '/login' para reduzir a capacidade de rajadas de solicitações simultâneas.

**Nome do Software Vulnerável e Versões Afetadas** Admidio versões anteriores a 5.0.9 **Descrição** Um invasor não autenticado pode executar JavaScript arbitrário no navegador de um usuário por meio de Cross-Site Scripting (XSS) refletido. O problema ocorre no endpoint 'system/msg window.php', que aceita `message id` e `message var1` como parâmetros GET. A aplicação processa `message var1` usando `htmlspecialchars()`, que não codifica colchetes. Posteriormente, a função `Language::prepareTextPlaceholders()` converte esses colchetes em colchetes angulares HTML, resultando em marcação executável. Isso permite que um invasor ignore a codificação e execute scripts no contexto da origem do Admidio, podendo levar ao roubo de cookies de sessão ou operações administrativas não autorizadas. **Recomendações** Atualize para a versão 5.0.9. Como medida paliativa temporária, restrinja o acesso ao endpoint 'system/msg window.php' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Admidio versões anteriores a 5.0.9 **Descrição** Um erro de lógica no processo de redefinição da autenticação de dois fatores (2FA) inverte a verificação de autorização. Isso permite que usuários não administradores removam a configuração de Senha Única Temporária baseada em Tempo (TOTP) de outros usuários, incluindo administradores, enquanto os impede de remover a sua própria. Especificamente, um líder de grupo com direitos de edição de perfil em uma conta de administrador pode remover a 2FA desse administrador, reduzindo a segurança da conta apenas para autenticação por senha. O problema reside no arquivo 'modules/profile/two factor authentication.php', onde uma condição invertida na verificação de autorização não bloqueia administradores de redefinir a 2FA de outros usuários. O endpoint vulnerável é '/adm program/modules/profile/two factor authentication.php' utilizando os parâmetros `mode` e `user uuid`. **Recomendações** Atualizar para a versão 5.0.9. Como medida paliativa temporária, restrinja a permissão `hasRightEditProfile()` para líderes de grupo a fim de minimizar o risco de remoção não autorizada de 2FA.

**Nome do Software Vulnerável e Versões Afetadas** Admidio versões anteriores a 5.0.9 **Descrição** Existe um problema onde a função `Role::stopMembership()` não verifica se a remoção de um usuário da função de administrador deixa o sistema com zero administradores. Embora a função obsoleta `Membership::stopMembership()` contenha uma verificação de segurança para evitar isso, o caminho de código atual a ignora. Isso permite que um administrador remova o último administrador restante, bloqueando potencialmente todo o acesso administrativo ao sistema. Isso pode ocorrer por meio de remoções sequenciais, onde dois administradores removem um ao outro, resultando em nenhum usuário restante na função de administrador. A vulnerabilidade está localizada na função `Role::stopMembership()` em `src/Roles/Entity/Role.php` e pode ser acionada através do endpoint "/modules/profile/profile function.php" utilizando os parâmetros `mode`, `user uuid` e `role uuid`. **Recomendações** Atualize para a versão 5.0.9. Como medida paliativa temporária, restrinja o acesso ao endpoint "/modules/profile/profile function.php" ou limite o número de usuários com privilégios de administrador para minimizar o risco de bloqueio total.