Carakas

**Nome do software vulnerável e versões afetadas** Versões do Fork CMS anteriores à 5.11.1 **Descrição** O problema está relacionado a um Cross-site Scripting (XSS) armazenado no repositório GitHub forkcms/forkcms. Ao fazer o upload de um novo módulo, a descrição do módulo pode conter código JavaScript, que pode ser executado após o upload do novo módulo e a visualização da página `Detalhes`. Isso permite a possível execução de scripts maliciosos. **Recomendações** Para versões do Fork CMS anteriores à 5.11.1, atualize para a versão 5.11.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de enviar novos módulos ou limitar o uso de código JavaScript nas descrições dos módulos até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Fork CMS versão 5.8.2 **Descrição** A vulnerabilidade permite que invasores remotos injetem código JavaScript arbitrário por meio dos parâmetros `navigation title` e `title` no endpoint “/private/en/pages/add”. Isso permite que os invasores executem scripts maliciosos no lado do cliente. **Recomendações** Para o Fork CMS versão 5.8.2, considere desativar os parâmetros `navigation title` e `title` no endpoint “/private/en/pages/add” até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar os parâmetros `navigation title` e `title` no endpoint afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Fork-CMS anteriores à 5.8.2 **Descrição** A vulnerabilidade permite que invasores remotos se apropriem da autenticação de administradores conectados devido a uma falsificação de solicitação entre sites (CSRF). **Recomendações** Para versões anteriores à 5.8.2, atualize para a versão 5.8.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do Fork anteriores à 5.8.3 Descrição: A vulnerabilidade permite que invasores remotos realizem ações não autorizadas como administrador, incluindo aprovar comentários de usuários, restaurar usuários excluídos, instalar ou executar módulos, redefinir análises, enviar ping para a API do Mailmotor, fazer upload para a biblioteca de mídia e exportar configurações regionais. Recomendações: Para versões anteriores à 5.8.3, atualize para a versão 5.8.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do fork anteriores à 5.8.3 **Descrição** A vulnerabilidade permite ataques XSS por meio das variáveis `navigation title` ou `title`. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para versões anteriores à 5.8.3, atualize para a versão 5.8.3 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada das variáveis `navigation title` e `title` para minimizar o risco de ataques XSS.