Ancst

**Nome do software vulnerável e versões afetadas** Versões do openmediavault anteriores à 4.1.36 Versões 5.x do openmediavault anteriores à 5.5.12 **Descrição** A vulnerabilidade permite ataques de injeção de código PHP autenticados por meio do parâmetro POST `sortfield` do arquivo “rpc.php”, devido à falta de uso de `json encode safe` no arquivo config/databasebackend.inc. Isso pode levar à execução de comandos arbitrários no sistema operacional subjacente com privilégios de root. **Recomendações** Para versões do OpenMediaVault anteriores à 4.1.36, atualize para a versão 4.1.36 ou posterior. Para versões do openmediavault 5.x anteriores à 5.5.12, atualize para a versão 5.5.12 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “rpc.php” para minimizar o risco de exploração. Evite usar o parâmetro `sortfield` no endpoint da API afetado até que a vulnerabilidade seja resolvida.