D3Addog

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** A filtragem insuficiente das entradas do usuário permite a leitura arbitrária de arquivos por invasores não autenticados, resultando na divulgação de informações confidenciais. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Concrete CMS até a 8.5.5 **Descrição** Foi descoberta uma falha que permite a traversal de caminho por usuários autenticados, resultando na execução remota de código por meio de código PHP enviado. Essa falha está relacionada ao parâmetro `bFilename`. **Recomendações** Para versões até a 8.5.5, considere restringir o acesso ao código PHP carregado para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `bFilename` nos pontos de extremidade da API afetados até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Concrete CMS anteriores à 8.5.6 **Descrição** O problema diz respeito a uma vulnerabilidade CSRF no componente Calendário do Concrete CMS. Especificamente, o `ccm token` não é verificado no endpoint “ccm/calendar/dialogs/event/add/save”, tornando-o suscetível a ataques de falsificação de solicitação entre sites. **Recomendações** Para versões anteriores à 8.5.6, atualize para a versão 8.5.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “ccm/calendar/dialogs/event/add/save” até que um patch esteja disponível.