Cilefen

**Nome do Software Vulnerável e Versões Afetadas** Drupal core versões 8.0.0 até 10.5.8 Drupal core versões 10.6.0 até 10.6.6 Drupal core versões 11.0.0 até 11.2.10 Drupal core versões 11.3.0 até 11.3.6 **Descrição** O Drupal core permite a Injeção de Objetos devido à modificação inadequadamente controlada de atributos de objetos determinados dinamicamente. Este problema envolve uma "gadget chain" (uma sequência de fragmentos de código existentes) que pode ser utilizada para alcançar a execução remota de código ou injeção de SQL se a aplicação desserializar dados não confiáveis através da função `unserialize()` devido a outra vulnerabilidade. Este problema não é explorável diretamente por si só. **Recomendações** Atualizar as versões 8.0.0 até 10.5.8 para 10.5.9. Atualizar as versões 10.6.0 até 10.6.6 para 10.6.7. Atualizar as versões 11.0.0 até 11.2.10 para 11.2.11. Atualizar as versões 11.3.0 até 11.3.6 para 11.3.7.

**Name of the Vulnerable Software and Affected Versions** Drupal CAPTCHA versions 0.0.0 through 1.16.9 Drupal CAPTCHA versions 2.0.0 through 2.0.9 **Description** A functionality bypass exists in Drupal CAPTCHA due to insufficient invalidation of security tokens. An attacker may bypass the CAPTCHA on subsequent submissions if they first successfully solve at least one CAPTCHA manually to obtain valid tokens. **Recommendations** Update Drupal CAPTCHA to version 1.17.0 or later. Update Drupal CAPTCHA to version 2.0.10 or later.

**Name of the Vulnerable Software and Affected Versions** Drupal Disable Login Page versions prior to 1.1.3 **Description** An authentication bypass issue exists in Drupal Disable Login Page, allowing functionality bypass through an alternate path or channel. This allows attackers to circumvent login requirements. **Recommendations** Update Drupal Disable Login Page to version 1.1.3 or later.

**Name of the Vulnerable Software and Affected Versions** Drupal Entity Share versions prior to 3.13.0 **Description** An authorization issue exists in Drupal Entity Share that permits forceful browsing. This flaw potentially allows unauthorized access to resources. **Recommendations** Update Drupal Entity Share to version 3.13.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal 8.0.0 até 10.4.9 Versões do Drupal 10.5.0 até 10.5.6 Versões do Drupal 11.0.0 até 11.1.9 Versões do Drupal 11.2.0 até 11.2.8 **Descrição** Existe uma verificação inadequada para condições incomuns ou excepcionais no core do Drupal, permitindo navegação forçada. Este problema afeta a capacidade do software de lidar com entradas ou situações inesperadas, podendo resultar em acesso não autorizado ou divulgação de informações. **Recomendações** Atualize o core do Drupal para a versão 10.4.9 ou posterior. Atualize o core do Drupal para a versão 10.5.6 ou posterior. Atualize o core do Drupal para a versão 11.1.9 ou posterior. Atualize o core do Drupal para a versão 11.2.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Acquia DAM de 0.0.0 a 1.1.4 **Descrição** Existe uma falha de autorização no Drupal Acquia DAM, permitindo navegação forçada. Isso permite acesso não autorizado a recursos. **Recomendações** Atualize o Acquia DAM para a versão 1.1.5 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Drupal Autenticação de Dois Fatores (TFA) versões 0.0.0 a 1.10.0 Descrição: O problema afeta o mecanismo de autenticação de dois fatores (TFA), permitindo a exploração de níveis de segurança de controle de acesso configurados incorretamente devido a um privilégio definido com ações inseguras. Recomendações: Para as versões 0.0.0 a 1.10.0, atualize para a versão 1.11.0 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Drupal OAuth2 Client versões 0.0.0 até 4.1.2 **Descrição** Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) afeta o Drupal OAuth2 Client, permitindo que ações não autorizadas sejam realizadas em nome do usuário. Essa vulnerabilidade pode ser explorada por um atacante para realizar ações sem o conhecimento ou consentimento do usuário. **Recomendações** Para o Drupal OAuth2 Client versões 0.0.0 até 4.1.2, atualize para a versão 4.1.3 ou posterior para corrigir a vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CKEditor 4 LTS - Editor HTML WYSIWYG versões 1.0.0 a 1.0.0 **Descrição** O problema está relacionado à neutralização inadequada de entrada durante a geração de páginas web, permitindo Cross-Site Scripting (XSS). Isso possibilita que atacantes injetem scripts maliciosos em websites, podendo levar a acesso não autorizado ou controle. **Recomendações** Para o CKEditor 4 LTS - Editor HTML WYSIWYG versão 1.0.0, atualize para a versão 1.0.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Tarte au Citron, versões 2.0.0 a 2.0.5 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da web, permitindo ataques de Cross-Site Scripting (XSS). Isso pode permitir que um invasor remoto realize ataques XSS. **Recomendações** Para as versões 2.0.0 a 2.0.5, considere desativar o módulo vulnerável até que um patch esteja disponível. Restrinja o acesso aos endpoints da API afetados para minimizar o risco de exploração. Evite usar parâmetros vulneráveis nas funções de geração de páginas da web afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do Drupal Core 8.0.0 a 10.2.11 Versões do Drupal Core 10.3.0 a 10.3.9 Versões do Drupal Core 11.0.0 a 11.0.8 Descrição: Uma vulnerabilidade no Drupal Core permite a escalada de privilégios. Esse problema está relacionado a inconsistências na verificação de exclusividade de determinados campos de usuário, dependendo do mecanismo de banco de dados e de sua classificação, o que pode levar a problemas de integridade de dados. Recomendações: Para as versões do Drupal Core 8.0.0 a 10.2.11, atualize para uma versão posterior à 10.2.11. Para as versões do Drupal Core 10.3.0 a 10.3.9, atualize para uma versão posterior à 10.3.9. Para as versões do Drupal Core 11.0.0 a 11.0.8, atualize para uma versão posterior à 11.0.8.

**Nome do software vulnerável e versões afetadas** Drupal Advanced PWA inc Push Notifications, versões 0.0.0 a 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de autorização incorreta no módulo Drupal Advanced PWA inc Push Notifications, que permite a navegação forçada. Isso significa que um invasor pode contornar as restrições de segurança e realizar ações não autorizadas. A vulnerabilidade pode ser explorada remotamente. **Recomendações** Para as versões 0.0.0 a 1.5.0, atualize para a versão 1.5.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo para minimizar o risco de exploração.