Ahmad Shauqi

**Nome do software vulnerável e versões afetadas** Versões do spatie/browsershot anteriores à 5.0.3 **Descrição** O problema está relacionado à validação inadequada de entradas, devido a uma validação incorreta de URLs por meio do método `setUrl`. Um invasor pode explorar essa vulnerabilidade utilizando `view-source:file://`, o que permite a leitura arbitrária de um arquivo local. Trata-se de uma contornada de uma correção anterior. **Recomendações** Para versões anteriores à 5.0.3, atualize para a versão 5.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método `setUrl` para minimizar o risco de exploração. Evite usar o protocolo `view-source:file://` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do iTop anteriores à 2.7.10 Versões do iTop anteriores à 3.0.4 Versões do iTop anteriores à 3.1.1 Versões do iTop anteriores à 3.2.0 **Descrição** O iTop é uma plataforma de gerenciamento de serviços de TI. Arquivos da pasta `env-production` podem ser recuperados, mesmo que devam ter acesso restrito. Esperamos que não haja arquivos confidenciais armazenados nessa pasta por padrão, mas pode haver arquivos provenientes de um módulo de terceiros. O script `pages/exec.php` foi corrigido para limitar a execução apenas a arquivos PHP. Outros tipos de arquivo não serão recuperados nem expostos. **Recomendações** Para versões anteriores à 2.7.10, atualize para a versão 2.7.10 ou posterior. Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior. Para versões anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior. Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior. Como solução temporária, considere restringir o acesso à pasta `env-production` para minimizar o risco de exploração.