Arkmarta

**Nome do Software Vulnerável e Versões Afetadas** @strapi/upload versões anteriores a 5.33.3 **Description** No plugin de Upload, os endpoints da Content API não aplicavam as restrições de tipo MIME configuradas pelo administrador em `plugin.upload.security.allowedTypes` e `deniedTypes`. Embora essas restrições estivessem ativas para o Painel de Administração, a verificação de segurança `enforceUploadSecurity` estava ausente no controlador da Content API. Consequentemente, os manipuladores `uploadFiles` e `replaceFile`, bem como o wrapper `upload`, ignoravam a detecção de MIME e as listas de permissão/bloqueio. Um usuário autenticado com permissões de upload na Content API poderia enviar tipos de arquivos não permitidos, como HTML e SVG. Se os arquivos enviados forem servidos na mesma origem que o painel de administração, um invasor poderia enviar um arquivo HTML ou SVG malicioso. Quando aberto por um administrador, esse arquivo poderia executar JavaScript na origem do administrador, permitindo potencialmente o sequestro de sessão administrativa e ações administrativas não autorizadas via API de administração. **Recommendations** Atualize o @strapi/upload para a versão 5.33.3 ou posterior.

Name of the Vulnerable Software and Affected Versions Payload versões anteriores a 3.79.1 Description Payload, um sistema de gerenciamento de conteúdo sem interface gráfica, possuía validação de entrada insuficiente em certas requisições. Isso permitia que invasores manipulassem a execução de consultas SQL, potencialmente levando à exposição ou modificação de dados em coleções. Recommendations Atualize para a versão 3.79.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** AVideo versions prior to 8.0 **Description** AVideo is a video-sharing platform. Versions prior to 8.0 contain a SQL Injection issue in the `getSqlFromPost()` method of Object.php. The `$ POST['sort']` array keys are used directly as SQL column identifiers within an ORDER BY clause. While `real escape string()` was applied, it only escapes string-context characters and does not protect SQL identifiers, rendering it ineffective. The issue stems from the direct use of unsanitized input in constructing a SQL query. The `sort` parameter within the `$ POST` request is particularly vulnerable. **Recommendations** Versions prior to 8.0 should be upgraded to version 8.0. As a workaround without upgrading, apply a WAF rule to block POST requests where any `sort[*]` key contains characters outside [A-Za-z0-9 ]. Alternatively, restrict access to the queue view (queue.json.php, index.php) to trusted IP ranges only.

**Nome do Software Vulnerável e Versões Afetadas** AVideo versões anteriores à 7.0 **Descrição** AVideo é uma plataforma de compartilhamento de vídeos suscetível a Execução Remota de Código sem Autenticação (RCE). Um atacante pode injetar substituição de comando de shell no parâmetro GET `base64Url`, possivelmente levando ao comprometimento completo do servidor, exfiltração de dados e interrupção do serviço. O problema reside na manipulação inadequada da entrada fornecida pelo usuário em comandos de shell, especificamente nos arquivos `objects/getImage.php` e `objects/security.php`, utilizando funções como `shell exec` e `nohup`. A causa raiz é a falta de escape adequado de shell ao decodificar e interpolar o parâmetro `base64Url` em comandos de shell. A validação `FILTER VALIDATE URL` não impede que metacaracteres de shell sejam interpretados pelo shell. **Recomendações** Atualize para a versão 7.0 para resolver o problema. Restrinja o acesso ao arquivo `objects/getImage.php` na camada do servidor web ou proxy reverso. Aplique regras de Web Application Firewall (WAF) para bloquear padrões suspeitos e limitar a exposição.

**Nome do Software Vulnerável e Versões Afetadas** Versões do AVideo anteriores à 24.0 **Descrição** O AVideo é uma plataforma de vídeo de código aberto. Uma vulnerabilidade de Execução Remota de Código (RCE) foi identificada na funcionalidade de upload/importação de plugins. Um administrador autenticado poderia fazer o upload de um arquivo ZIP especialmente elaborado contendo arquivos executáveis do lado do servidor. A validação insuficiente do conteúdo dos arquivos extraídos permitiu que o arquivo fosse extraído diretamente em um diretório de plugins acessível pela web, possibilitando a execução arbitrária de código PHP. O problema permite o comprometimento completo do sistema, incluindo impactos em confidencialidade, integridade e disponibilidade. O sistema validava apenas a extensão ZIP dos pacotes de plugins carregados, mas não impunha uma lista de permissões rigorosa de tipos de arquivo dentro do arquivo. Os arquivos extraídos eram colocados diretamente em um diretório acessível pela web, sem impedir a execução de scripts do lado do servidor. **Recomendações** Atualize para a versão 24.0 ou posterior do AVideo. Desative a funcionalidade de upload/importação de plugins. Configure o servidor web para impedir a execução de arquivos PHP dentro dos diretórios de upload de plugins.

**Name of the Vulnerable Software and Affected Versions** Canarytokens versions prior to `sha-7ff0e12` **Description** The Canarytokens PWA Canarytoken has a Self Cross-Site Scripting issue. A Canarytoken creator can execute Javascript code by inserting it into the title field of their PWA token. This allows the creator to attack themselves or anyone they share the link with. When a victim clicks on the installation link, the Javascript code executes. However, no sensitive information is disclosed to a malicious actor. **Recommendations** Update to a Docker image after `sha-7ff0e12` or pull the latest Docker image from Canarytokens.org.

**Nome do Software Vulnerável e Versões Afetadas** Versões do AVideo anteriores à 22.0 **Descrição** O AVideo é uma plataforma de vídeo de código aberto. O endpoint da API `aVideoEncoder.json.php` aceita um parâmetro `downloadURL` e busca o recurso referenciado no lado do servidor sem validação adequada ou uma lista de permissões (allow-list). Isso permite que usuários autenticados acionem solicitações no lado do servidor para URLs arbitrárias, incluindo endpoints de rede interna, levando à Falsificação de Solicitação no Lado do Servidor (SSRF). Um atacante autenticado pode aproveitar o SSRF para interagir com serviços internos e recuperar dados sensíveis, potencialmente levando a um comprometimento adicional. O parâmetro vulnerável é `downloadURL`. **Recomendações** Atualize o AVideo para a versão 22.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do AVideo anteriores a 21.0 Versão 18.0 do AVideo **Descrição** O AVideo permite Markdown nos comentários de vídeos e utiliza o Parsedown (v1.7.4) sem o Modo Seguro ativado. Os links em Markdown não são sanitizados adequadamente, permitindo que URIs `javascript:` sejam renderizados como links clicáveis. Um invasor autenticado com baixo privilégio pode postar um comentário malicioso que injeta JavaScript persistente. Quando outro usuário clica no link, o invasor pode executar ações como sequestro de sessão, elevação de privilégio (incluindo a tomada de controle de administrador) e exfiltração de dados. O problema é um Cross-Site Scripting Armazenado (XSS), conforme definido pela CWE-79. **Recomendações** Versões anteriores a 21.0 devem ser atualizadas para a versão 21.0 ou posterior. Para a versão 18.0 do AVideo, valide e bloqueie esquemas de URI inseguros (por exemplo, `javascript:`) antes de renderizar o Markdown. Ative o Modo Seguro do Parsedown.

**Name of the Vulnerable Software and Affected Versions** CVAT versions 2.2.0 through 2.54.0 **Description** CVAT is an interactive video and image annotation tool for computer vision. An attacker can execute arbitrary JavaScript in a victim user's CVAT UI session. This is possible by creating a maliciously crafted label in a CVAT task or project, and then getting the victim user to either edit that label or view a shape referencing that label. Alternatively, the attacker can get the victim user to upload a maliciously crafted SVG image when configuring a skeleton. Successful exploitation grants the attacker temporary access to all CVAT resources accessible to the victim user. **Recommendations** Update to version 2.55.0 or later.

**Name of the Vulnerable Software and Affected Versions** CVAT versions 1.0.0 through 2.54.0 **Description** CVAT is an open source interactive video and image annotation tool for computer vision. Users with staff status can modify their permissions, including granting themselves superuser status and joining the admin group, which provides full access to the data within the CVAT instance. **Recommendations** Versions prior to 2.55.0 should be updated. Review the list of users with staff status and revoke it from any users that are not expected to have superuser privileges as a workaround.