Ally-Petitt

**Nome do software vulnerável e versões afetadas** GNU Savane versões 3.13 e anteriores **Descrição** Uma falha permite que um invasor remoto execute código arbitrário e obtenha privilégios elevados por meio de um arquivo malicioso enviado ao componente “upload.php”. **Recomendações** Para as versões 3.13 e anteriores do GNU Savane, considere desativar a funcionalidade de upload no componente “upload.php” até que uma correção esteja disponível. Restrinja o acesso ao componente “upload.php” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** GNU Savane versões 3.12 e anteriores **Descrição** A vulnerabilidade permite que um invasor remoto exclua arquivos arbitrários por meio de entradas maliciosas na função `trackers data delete file`. Isso se deve a uma referência direta a objeto insegura (IDOR) no software. **Recomendações** Para as versões 3.12 e anteriores do GNU Savane, como solução temporária, considere desativar a função `trackers data delete file` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GNU Savane versões 3.12 e anteriores **Descrição** Uma vulnerabilidade do tipo Cross Site Request Forgery permite que um invasor remoto obtenha privilégios elevados por meio do endpoint “siteadmin/usergroup.php”. Isso pode ser explorado para obter acesso não autorizado. **Recomendações** Para as versões 3.12 e anteriores do GNU Savane, como solução temporária, considere restringir o acesso ao endpoint “siteadmin/usergroup.php” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.