Bunneyops

**Nome do software vulnerável e versões afetadas** FUEL CMS versão 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso significa que um invasor poderia induzir um usuário a realizar ações indesejadas no aplicativo web. **Recomendações** Para o FUEL CMS versão 1.5.0, considere implementar a validação de token CSRF para impedir solicitações não autorizadas. Como solução temporária, restrinja o acesso ao arquivo login.php até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** FUEL CMS versão 1.5.0 **Descrição** A vulnerabilidade permite a injeção de SQL por meio do parâmetro `col` no endpoint da API “/fuel/index.php/fuel/pages/items”. Isso permite que um invasor injete código SQL malicioso, o que pode levar ao acesso ou à modificação não autorizada de dados. **Recomendações** Para o FUEL CMS versão 1.5.0, considere restringir o acesso ao endpoint da API “/fuel/index.php/fuel/pages/items” até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `col` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Fuel CMS versão 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de força bruta. Ele está localizado no arquivo fuel/modules/fuel/controllers/Login.php. **Recomendações** Para o Fuel CMS versão 1.5.0, considere desativar temporariamente a funcionalidade de login no arquivo Login.php até que uma correção esteja disponível. Restrinja o acesso ao arquivo Login.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** FUEL CMS versão 1.5.0 **Descrição** A vulnerabilidade permite injeção de SQL por meio do parâmetro `col` no endpoint da API “/fuel/index.php/fuel/logs/items”. **Recomendações** Para o FUEL CMS versão 1.5.0, evite usar o parâmetro `col` no endpoint da API “/fuel/index.php/fuel/logs/items” até que a vulnerabilidade seja resolvida. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “/fuel/index.php/fuel/logs/items” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** FUEL CMS versão 1.5.0 **Descrição** Existe uma vulnerabilidade a ataques de cabeçalho de host devido à falta de neutralização de elementos especiais nos arquivos fuel/modules/fuel/config/fuel constants.php e fuel/modules/fuel/libraries/Asset.php. Isso pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. Um invasor pode utilizar um ataque man-in-the-middle, como o phishing. **Recomendações** Para o FUEL CMS versão 1.5.0, considere desativar o acesso aos arquivos `fuel/modules/fuel/config/fuel constants.php` e `fuel/modules/fuel/libraries/Asset.php` até que uma correção esteja disponível. Restrinja o acesso a esses módulos para minimizar o risco de exploração. Evite usar os arquivos `fuel/modules/fuel/config/fuel constants.php` e `fuel/modules/fuel/libraries/Asset.php` em operações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do MaxSite CMS anteriores à V106 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos injetem scripts web arbitrários em uma página por meio do endpoint da API “product/page/*”. Isso permite que os invasores executem scripts maliciosos no navegador da vítima, podendo levar a ações não autorizadas ou roubo de dados. Recomendações: Para versões do MaxSite CMS anteriores à V106, atualize para a versão V106 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API “product/page/*” para minimizar o risco de exploração.