Boy-Hack

**Nome do software vulnerável e versões afetadas** Versões do melMass comfy mtb até 0.1.4 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente Dependency Handler, especificamente na função `run command` do arquivo `comfy mtb/endpoint.py`. Essa vulnerabilidade permite a injeção de código e pode ser explorada remotamente. O código de exploração já foi divulgado ao público. **Recomendações** Para as versões do melMass comfy mtb até 0.1.4, aplique o patch denominado d6e004cce2c32f8e48b868e66b89f82da4887dc3 para corrigir este problema. Como solução temporária, considere desativar a função `run command` até que o patch seja aplicado. Restrinja o acesso ao arquivo vulnerável `comfy mtb/endpoint.py` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** XiaoCms X1 version v20140305 **Description** An issue was discovered that allows for a CSRF vulnerability, enabling an attacker to change the administrator account password via the "admin/index.php?c=index&a=my" API endpoint. **Recommendations** For XiaoCms X1 version v20140305, consider implementing CSRF protection mechanisms to prevent unauthorized password changes. As a temporary workaround, restrict access to the "admin/index.php?c=index&a=my" endpoint until a patch is available.