Ctrgrb

**Nome do software vulnerável e versões afetadas** decidim, versões 0.0.1.alpha3 a 0.26.8 decidim-admin, versões 0.0.1.alpha3 a 0.26.8 decidim-system, versões 0.0.1.alpha3 a 0.26.8 Versões do devise invitable de 0.4.rc3 a 2.0.8 **Descrição** O recurso de convites na gem `devise invitable` permite que os usuários aceitem convites por tempo ilimitado por meio da funcionalidade de redefinição de senha. Essa vulnerabilidade cria dependências vulneráveis nas gems `decidim`, `decidim-admin` e `decidim-system`. Ao usar a funcionalidade de redefinição de senha, a gema `devise invitable` sempre aceita o convite pendente se o usuário tiver sido convidado, sem garantir que o convite pendente ainda seja válido conforme definido pelo período de validade de `invite for`. O Decidim define essa configuração como `2.weeks`, o que deve ser respeitado. **Recomendações** Para as versões do decidim de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior. Para as versões do decidim-admin de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior. Para as versões do decidim-system de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior. Para as versões do devise invitable de 0.4.rc3 a 2.0.8, atualize para a versão 2.0.9 ou superior. Como solução temporária, os convites podem ser cancelados diretamente do banco de dados executando o comando: Decidim::User.invitation not accepted.update all(invitation token: nil)

**Nome do software vulnerável e versões afetadas** Versões do Decidim 0.27.0 a 0.27.4 Versões do Decidim anteriores à 0.28.0 **Descrição** O recurso de upload dinâmico de arquivos no Decidim está sujeito a possíveis ataques de cross-site scripting se um invasor conseguir modificar os nomes dos arquivos dos registros que estão sendo enviados para o servidor. Essa vulnerabilidade ocorre em seções nas quais o usuário controla as caixas de diálogo de upload de arquivos e possui conhecimento técnico para alterar os nomes dos arquivos por meio do endpoint de upload dinâmico. Para que a exploração seja bem-sucedida, o usuário precisaria enviar um blob de arquivo para o servidor com um nome de arquivo malicioso e, em seguida, direcionar outro usuário para a página de edição do registro onde o anexo está vinculado. O invasor pode alterar o nome do arquivo, por exemplo, para `<svg onload=alert(‘XSS’)>`, caso saiba como criar essas solicitações por conta própria. **Recomendações** Para as versões 0.27.0 a 0.27.4 do Decidim, atualize para a versão 0.27.5 ou posterior. Para versões do Decidim anteriores à 0.28.0, atualize para a versão 0.28.0 ou posterior. Como solução alternativa temporária, considere desativar os uploads dinâmicos para a instância, por exemplo, a partir de propostas.