Cyber-Word

**Nome do software vulnerável e versões afetadas: ThinkPHP5, versões 5.0.x a 5.1.22 Descrição: Existe uma vulnerabilidade de injeção de SQL na função `parseOrder` em `Builder.php`. Recomendações: Para as versões 5.0.x a 5.1.22, considere atualizar para uma versão que contenha uma correção para essa vulnerabilidade, pois o uso da função `parseOrder` em `Builder.php` pode representar um risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Catfish anteriores à 6.1.* Descrição: Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) ao fazer o upload de um arquivo HTML contendo CSRF em um site que utilize um editor do Google. Isso permite especificar um endereço URL malicioso na coluna “Adicionar menu”. Recomendações: Para versões anteriores à 6.1.*, considere desativar o recurso de upload de arquivos HTML até que uma correção esteja disponível. Restrinja o acesso à coluna “Adicionar Menu” para minimizar o risco de exploração. Evite usar o recurso para adicionar URLs de menu de fontes não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do Catfish anteriores à 6.3.1 Descrição: Existe uma vulnerabilidade de Cross Site Scripting (XSS) que permite uma possível exploração por meio de uma pesquisa no Google no endpoint “url:/catfishcms/index.php/admin/Index/addmenu.html”. Essa vulnerabilidade pode ser acionada no arquivo .html do site que utiliza esse editor, uma vez que a extensão do arquivo é permitida. Recomendações: Para versões anteriores à 6.3.1, atualize para a versão 6.3.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** KindEditor versões 4.1.x **Descrição** Existe uma vulnerabilidade de Cross Site Scripting (XSS) no software, permitindo a exploração por meio de uma pesquisa específica no Google e o acesso subsequente a um arquivo .html em um site que utilize o editor, onde a extensão do arquivo é permitida. **Recomendações** Para a versão 4.1.x do KindEditor, considere desativar a funcionalidade de upload do editor ou restringir o acesso ao arquivo uploadbutton.html até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** KindEditor versão 4.1.x **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que invasores induzam usuários a clicar em links maliciosos ao enviar um arquivo HTML contendo código CSRF em um site que utilize o editor. Isso pode ser feito enviando-se primeiro o arquivo malicioso e, em seguida, utilizando a autoridade do site para induzir os usuários a clicar no link. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para o KindEditor versão 4.1.x, como solução temporária, considere restringir o acesso ao endpoint `examples/uploadbutton.html` até que uma correção esteja disponível. Evite usar o editor para enviar arquivos HTML contendo código potencialmente malicioso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.