Baikuya

**Nome do Software Vulnerável e Versões Afetadas** Grav versão 1.8.0-beta.29 Login Plugin versões anteriores a 3.8.2 **Descrição** Uma falha de validação no lado do servidor existe na função `Login::register()` do plugin Login. Quando o registro de usuário está habilitado e os campos `groups` ou `access` estão incluídos na configuração de campos permitidos, um usuário não autenticado pode injetar essas variáveis na solicitação de registro. Como a função `Login::validateField()` não valida os parâmetros `groups` e `access`, um invasor pode se registrar com privilégios de `admin.super`. Essa escalada de privilégios pode levar ao acesso total ao painel administrativo e, potencialmente, à execução remota de código (RCE). **Recomendações** Atualize o Login Plugin para a versão 3.8.2 ou posterior. Como medida paliativa temporária, remova `groups` e `access` da lista `user registration.fields` na configuração para evitar que usuários não autenticados injetem níveis de privilégio.