Catferq

**Nome do software vulnerável e versões afetadas** Versões do FileManager anteriores à 3.0.9 **Descrição** O problema está relacionado à desserialização de dados não confiáveis do parâmetro `mimes`, o que poderia levar à execução remota de código. Isso foi corrigido na versão 3.0.9. **Recomendações** Para versões anteriores à 3.0.9, atualize para a versão 3.0.9 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `mimes` para minimizar o risco de exploração. Um `composer update` resolverá o problema sem causar incompatibilidades.

**Nome do software vulnerável e versões afetadas** Versões do Filament anteriores à 3.2.123 **Descrição** O problema está relacionado à configuração padrão do Filament, que utiliza a opção de configuração `default filesystem disk` para os recursos de armazenamento. O disco padrão é definido como `public` na instalação inicial, permitindo que os usuários desenvolvam rapidamente com um disco funcional. No entanto, essa configuração padrão pode ser insegura, pois alguns recursos, como exportações, armazenam arquivos contendo dados confidenciais que não deveriam ser públicos. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para versões do Filament anteriores à 3.2.123, atualize para a versão 3.2.123 ou posterior para resolver o problema. Como solução temporária, considere definir o disco de exportação deliberadamente para uma opção segura, como `local` ou `s3`, para minimizar o risco de exploração. Se o disco `public` estiver definido como o disco padrão, o recurso de exportação o substituirá automaticamente pelo disco `local`, caso este exista. Os usuários que já definiram o disco padrão como `local` ou `s3` não são afetados.

**Nome do software vulnerável e versões afetadas** Versões 8 a 14.42.x da Orchid Platform **Descrição** A vulnerabilidade consiste em um problema de exposição de métodos na funcionalidade modal assíncrona da Plataforma Orchid, permitindo que invasores chamem métodos arbitrários dentro da classe `Screen`. Isso pode levar a ataques de força bruta contra tabelas de banco de dados, verificações de validação de credenciais de usuário e divulgação do endereço IP real do servidor. **Recomendações** Para as versões 8 a 14.42.x da Orchid Platform, atualize para a versão 14.43.0 ou posterior para resolver este problema. Se a atualização para a versão 14.43.0 não for possível imediatamente, implemente um middleware para interceptar e validar solicitações a endpoints modais assíncronos, permitindo apenas métodos e parâmetros aprovados, como o middleware de exemplo fornecido `PreventBruteForceOnAsyncRoute`.

**Name of the Vulnerable Software and Affected Versions** Orchid versions 14.0.0-alpha4 through 14.4.x **Description** A vulnerability is present in the Orchid package, related to the deserialization of untrusted data from the ` state` query parameter, which can result in remote code execution. The issue allows a remote attacker to execute arbitrary code. **Recommendations** For versions 14.0.0-alpha4 through 14.4.x, upgrade the software to version 14.5.0 or any subsequent versions that include the patch to address the issue. As a temporary workaround, consider restricting access to the ` state` query parameter until a patch is applied.