Bc0D3

**Nome do software vulnerável e versões afetadas** MyQ Server nas versões do MyQ X Smart anteriores à 8.2 **Descrição** A vulnerabilidade permite a execução remota de código por usuários sem privilégios, pois os dados da sessão administrativa podem ser lidos no diretório %PROGRAMFILES%MyQPHPSessions. O recurso “Selecionar arquivo do servidor”, destinado a administradores, não requer autorização. Um invasor pode injetar comandos arbitrários do sistema operacional, como a criação de novos arquivos .php, por meio do componente Agendador de Tarefas. **Recomendações** Para versões anteriores à 8.2, atualize para a versão 8.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Agendador de Tarefas e ao recurso “Selecionar arquivo do servidor” para minimizar o risco de exploração. Além disso, certifique-se de que o diretório %PROGRAMFILES%MyQPHPSessions esteja devidamente protegido para impedir o acesso não autorizado aos dados da sessão administrativa.

**Nome do software vulnerável e versões afetadas** Ultimate WooCommerce Gift Cards versão 3.0.2 **Descrição** A falha permite a execução remota de código arbitrário devido a uma vulnerabilidade no upload de arquivos no modelo personalizado de cartão-presente. Essa vulnerabilidade é explorada quando a função `Custom Gift Card Template` é utilizada, permitindo o upload de uma imagem personalizada. Ao alterar a extensão da imagem para PHP, um invasor pode executar código PHP no servidor. **Recomendações** Para o Ultimate WooCommerce Gift Cards versão 3.0.2, considere desativar a função `Custom Gift Card Template` para impedir a exploração até que uma correção esteja disponível. Restrinja o acesso ao recurso de upload de imagens personalizadas para minimizar o risco de execução de código arbitrário.