André Buchmann

**Nome do software vulnerável e versões afetadas** Versões da extensão femanager anteriores à 5.5.2 Versões da extensão femanager 6.x anteriores à 6.3.3 Versões da extensão femanager 7.x anteriores à 7.0.1 **Descrição** A vulnerabilidade permite a criação de usuários front-end em grupos restritos caso exista um campo `usergroup` no formulário de registro. Isso ocorre devido a um tratamento incorreto do mecanismo de proteção `usergroup.inList`, permitindo que a validação seja contornada. Novos usuários front-end criados pela extensão podem ser membros de grupos restritos. A vulnerabilidade só pode ser explorada se o campo `usergroup` estiver disponível no formulário de registro. **Recomendações** Para versões da extensão femanager anteriores à 5.5.2, atualize para a versão 5.5.2 ou posterior. Para versões da extensão femanager 6.x anteriores à 6.3.3, atualize para a versão 6.3.3 ou posterior. Para versões da extensão femanager 7.x anteriores à 7.0.1, atualize para a versão 7.0.1 ou posterior. Como solução temporária, considere remover o campo `usergroup` do formulário de registro até que um patch seja aplicado.