Antonio Cannito

**Nome do software vulnerável e versões afetadas** Chadha PHPKB Standard Multi-Language versão 9 **Descrição** A vulnerabilidade permite que invasores remotos executem código ao enviar um arquivo .php para o diretório admin/js/. Isso é possível por meio do arquivo admin/imagepaster/image-upload.php. **Recomendações** Para a versão 9, restrinja o acesso ao arquivo admin/imagepaster/image-upload.php para impedir uploads não autorizados e considere remover ou restringir o acesso de gravação ao diretório admin/js/ até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Chadha PHPKB Standard Multi-Language versão 9 **Descrição** A vulnerabilidade permite que invasores remotos baixem arquivos do servidor utilizando uma sequência de dois pontos e uma barra (../) por meio do parâmetro `file` no endpoint “admin/download.php”. **Recomendações** Para a versão 9, restrinja o acesso ao endpoint “admin/download.php” para minimizar o risco de exploração. Evite usar o parâmetro `file` neste endpoint até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Chadha PHPKB Standard Multi-Language versão 9 **Descrição** A vulnerabilidade permite que invasores remotos executem código injetando código PHP em qualquer parâmetro POST ao salvar configurações globais. **Recomendações** Para o Chadha PHPKB Standard Multi-Language versão 9, considere validar e sanitizar todos os parâmetros POST no arquivo admin/save-settings.php para impedir a injeção de código PHP. Como solução temporária, restrinja o acesso ao arquivo admin/save-settings.php até que um patch esteja disponível.