Av01T3X

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.10.33 a 2.0.15 do 1Panel **Descrição** As versões 1.10.33 a 2.0.15 do 1Panel são afetadas por uma vulnerabilidade de Falsificação de Solicitação entre Sites (CSRF) na funcionalidade de Alteração de Nome de Usuário, acessível através do painel de configurações no endpoint `/settings/panel`. O endpoint carece de proteções contra CSRF, como tokens anti-CSRF ou validação de Origin/Referer. Um atacante pode criar uma página web maliciosa que submete uma solicitação para alterar o nome de usuário de um usuário. Se um usuário autenticado visitar esta página, seu navegador envia cookies de sessão válidos, permitindo que o atacante altere o nome de usuário com sucesso sem o conhecimento do usuário. Isso pode levar ao bloqueio de conta e negação de serviço, pois o usuário não conseguirá fazer login com seu nome de usuário anterior após a alteração. **Recomendações** As versões 1.10.33 a 2.0.15 do 1Panel devem ser atualizadas para uma versão que inclua proteções contra CSRF para a funcionalidade de Alteração de Nome de Usuário. Como solução temporária, considere restringir o acesso ao endpoint `/settings/panel` a redes ou usuários confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Versões do 1Panel de 1.10.33 até 2.0.15 **Descrição** O software apresenta uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) na funcionalidade de configuração da porta web. O endpoint `port-change` não possui proteções contra CSRF, como tokens anti-CSRF ou validação de Origin/Referer. Um atacante pode criar uma página web maliciosa que submete uma solicitação de alteração de porta. Se um usuário visitar esta página web enquanto estiver autenticado, seu navegador enviará cookies de sessão válidos, permitindo que a solicitação seja concluída com sucesso. Isso permite que um atacante modifique a porta utilizada pelo serviço web do 1Panel, potencialmente interrompendo o serviço ou causando uma negação de serviço, e possivelmente expondo o serviço em uma porta selecionada pelo atacante. **Recomendações** Atualize o 1Panel para uma versão superior a 2.0.15.

**Nome do Software Vulnerável e Versões Afetadas** Versões do 1Panel de 1.10.33 a 2.0.15 **Descrição** O 1Panel é afetado por uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) na funcionalidade de gerenciamento de nome do painel. A funcionalidade afetada não possui proteções CSRF, como tokens anti-CSRF ou validação de Origin/Referer. Um atacante pode criar uma página web maliciosa que envia uma solicitação de alteração de nome do painel. Se um usuário visitar esta página enquanto estiver autenticado, seu navegador incluirá cookies de sessão válidos, permitindo que a solicitação seja bem-sucedida. Isso permite que um atacante remoto modifique o nome do painel do usuário sem seu conhecimento ou consentimento. O endpoint vulnerável não possui defesas CSRF suficientes. **Recomendações** Atualize o 1Panel para uma versão superior a 2.0.15. Atualize o 1Panel para uma versão superior a 1.10.33.