Alilovetaozi

**Nome do software vulnerável e versões afetadas: ZKEACMS versão 3.2.0 Descrição: Uma falha no envio arbitrário de arquivos no endpoint da API “/admin/media/upload” permite que invasores executem código arbitrário por meio de um arquivo HTML malicioso. Recomendações: Para o ZKEACMS versão 3.2.0, considere desativar o endpoint da API “/admin/media/upload” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a este endpoint para minimizar o risco de execução de código arbitrário. Evite usar este endpoint com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: KiteCMS versão 1.1 Descrição: Uma falha de falsificação de solicitação entre sites (CSRF) permite que invasores criem arbitrariamente uma conta de administrador. Isso pode levar ao acesso e controle não autorizados do sistema. Recomendações: Para o KiteCMS versão 1.1, considere implementar uma validação adequada do token CSRF para impedir solicitações não autorizadas. Como solução temporária, restrinja o acesso à funcionalidade de criação de contas de administrador até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: KiteCMS versão 1.1 Descrição: Uma vulnerabilidade que permite o upload arbitrário de arquivos no endpoint da API “/admin/upload/uploadfile” do KiteCMS permite que invasores enviem um arquivo PHP malicioso, o que pode levar a acesso não autorizado. Recomendações: Para o KiteCMS versão 1.1, considere desativar o endpoint da API “/admin/upload/uploadfile” até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de upload para minimizar o risco de uploads não autorizados de arquivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.