Davidedc97

Nome do Software Vulnerável e Versões Afetadas: versões do flaskBlog 2.8.0 e anteriores Descrição: A aplicação verifica o `userRole` para privilégios de "admin" apenas ao acessar a página /admin, mas não as suas subrotas. Especificamente, a verificação é realizada em `routes/adminPanel.py`, mas não em `routes/adminPanelComments.py` e `routes/adminPanelPosts.py`. Isso permite que usuários não autorizados contornem as restrições de acesso e acessem dados sensíveis nas seguintes páginas: /admin/posts, /adminpanel/posts, /admin/comments e /adminpanel/comments. Recomendações: versões do flaskBlog anteriores à 2.8.0: Implemente verificações de controle de acesso baseado em funções para todas as subrotas da página /admin, incluindo `routes/adminPanelComments.py` e `routes/adminPanelPosts.py`, para garantir que apenas usuários autorizados possam acessar essas páginas.

Nome do Software Vulnerável e Versões Afetadas: versões do flaskBlog anteriores à 2.8.0 Descrição: O flaskBlog é uma aplicação de blog construída com Flask. Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado devido à falta de validação do conteúdo de uma postagem armazenado na variável `postContent`. A aplicação exibe o conteúdo da postagem usando o filtro `| safe`, o que desabilita o escapamento de saída, levando à possível exploração de XSS. O código vulnerável reside no arquivo template/routes.html. Recomendações: Atualize o flaskBlog para a versão 2.8.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do flaskBlog anteriores à 2.8.1 Descrição: flaskBlog é um aplicativo de blog desenvolvido com Flask. Qualquer usuário pode alterar sua função para "admin", concedendo privilégios administrativos, como excluir usuários, posts e comentários. O problema reside no arquivo `routes/adminPanelUsers`. Recomendações: Atualize para a versão 2.8.1 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do flaskBlog anteriores à 2.8.0 Descrição: O flaskBlog é uma aplicação de blog desenvolvida com Flask. Existe uma falha na qual não há validação de propriedade do comentário durante a exclusão. Isso permite que qualquer usuário exclua comentários pertencentes a outros usuários em qualquer postagem, interceptando a requisição de exclusão e modificando o `commentID`. O código vulnerável está localizado em `routes/post.py`. Recomendações: Atualize o flaskBlog para a versão 2.8.0 ou posterior.