Adrian H

**Nome do software vulnerável e versões afetadas** Versões do Concrete CMS anteriores à 8.5.7 **Descrição** A vulnerabilidade permite que um usuário não autenticado acesse arquivos restritos caso tenha permissão para adicionar uma mensagem a uma conversa. Isso se deve a uma vulnerabilidade de Referência Direta a Objetos Insegura (IDOR). Para corrigir isso, foi adicionada uma verificação para confirmar se o usuário possui permissões para visualizar arquivos antes de anexá-los a uma mensagem na funcionalidade “adicionar/editar mensagem”. **Recomendações** Para versões anteriores à 8.5.7, atualize para a versão 8.5.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade “adicionar/editar mensagem” para minimizar o risco de exploração. Além disso, certifique-se de que os usuários tenham as permissões adequadas para visualizar arquivos antes de permitir que anexem arquivos às mensagens.