Coleak2021

**Nome do Software Vulnerável e Versões Afetadas** flaskBlog versão 2.6.1 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que atacantes executem scripts web ou HTML arbitrários por meio de um payload especialmente criado injetado no parâmetro `postContent` no endpoint da API "/createpost". **Recomendações** Para o flaskBlog versão 2.6.1, considere desativar o parâmetro `postContent` no endpoint da API "/createpost" até que uma correção esteja disponível. Restrinja o acesso ao endpoint "/createpost" para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** laskBlog versão 2.6.1 **Descrição** A questão está relacionada a um controle de acesso inadequado, permitindo que atacantes excluam contas de usuário arbitrariamente por meio de uma requisição manipulada. **Recomendações** Para o laskBlog versão 2.6.1, considere restringir o acesso à funcionalidade de exclusão de contas de usuário até que um patch esteja disponível. Como medida temporária, revise e monitore todas as solicitações de exclusão de conta para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** laskBlog versão 2.6.1 **Descrição** A falha permite que atacantes contornem os controles de acesso e obtenham todos os nomes de usuário ao fornecerem uma entrada especialmente elaborada. **Recomendações** Para o laskBlog versão 2.6.1, considere restringir o acesso a informações sensíveis do usuário até que uma correção esteja disponível. Como solução de contorno temporária, revise e fortaleça a validação de entrada para impedir que entradas manipuladas explorem a vulnerabilidade de controle de acesso.

**Nome do Software Vulnerável e Versões Afetadas** flaskBlog versão 2.6.1 **Descrição** A vulnerabilidade permite que atacantes excluam títulos de artigos criados por outros usuários ao enviar uma solicitação POST manipulada ao componente "/post/{postTitle}". **Recomendações** Para a versão 2.6.1 do flaskBlog, considere restringir o acesso ao componente "/post/{postTitle}" até que um patch esteja disponível. Como solução temporária, evite usar a variável `postTitle` no endpoint da API afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Ppress versão 0.0.9 **Descrição** Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na funcionalidade de "recomendações relacionadas" permite que um atacante remoto execute código arbitrário por meio de um script manipulado nos parâmetros `article.title`, `article.category` e `article.tags`. **Recomendações** Para a versão 0.0.9 do Ppress, como medida de contorno temporária, considere desativar a funcionalidade de "recomendações relacionadas" até que uma correção esteja disponível. Restrinja o acesso aos parâmetros `article.title`, `article.category` e `article.tags` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.