Azimoff337

**Nome do Software Vulnerável e Versões Afetadas** Pterodactyl versões anteriores a 1.11.11 **Description** Um ator malicioso não autenticado pode executar código arbitrário ao utilizar o endpoint '/locales/locale.json' com os parâmetros de consulta `locale` e `namespace`. Esta falha permite o comprometimento total do servidor, incluindo o acesso ao servidor do painel, a leitura de credenciais da configuração (como o arquivo `.env`), a extração de informações confidenciais do banco de dados (incluindo nomes de usuário, e-mails e senhas hash) e o acesso a arquivos de servidores gerenciados pelo painel. Pesquisadores de segurança e atores maliciosos tentaram explorar este problema após o seu anúncio. **Recommendations** Atualize para a versão 1.11.11. Para instalações modificadas que utilizam Git, aplique o patch oficial usando `git apply`. Como mitigação temporária, utilize um Firewall de Aplicações Web (WAF) externo para bloquear o ataque. Restrinja o acesso ao endpoint '/locales/locale.json' no nível do servidor web, embora isso interrompa as funcionalidades de localização.