Daw1012345

**Nome do Software Vulnerável e Versões Afetadas** Nextcloud Server versões 31.0.0 até 31.0.13 Nextcloud Server versões 32.0.0 até 32.0.3 Nextcloud Enterprise Server versões anteriores a 28.0.14.15 Nextcloud Enterprise Server versões anteriores a 29.0.17.12 Nextcloud Enterprise Server versões anteriores a 30.0.17.7 Nextcloud Enterprise Server versões anteriores a 31.0.14 Nextcloud Enterprise Server versões anteriores a 32.0.4 **Description** Existe um problema na plataforma de colaboração de conteúdo onde usuários não administradores podem copiar arquivos arbitrários para seu próprio diretório usando path traversal, desde que `{lang}` seja utilizado no valor de configuração do diretório de modelos. A capacidade de copiar arquivos depende das permissões unix subjacentes. **Recommendations** Atualize o Nextcloud Server para a versão 31.0.14 ou 32.0.4. Atualize o Nextcloud Enterprise Server para a versão 28.0.14.15, 29.0.17.12, 30.0.17.7, 31.0.14 ou 32.0.4.

**Name of the Vulnerable Software and Affected Versions** Indico versions prior to 3.3.12 **Description** Indico is an event management system that utilizes Flask-Multipass, a multi-backend authentication system for Flask. Due to vulnerabilities in TeXLive and obscure LaTeX syntax that circumvented Indico's LaTeX sanitizer, specially crafted LaTeX snippets could be used to read local files or execute code with the privileges of the user running Indico on the server. This issue does not apply if server-side LaTeX rendering is not in use, meaning the `XELATEX PATH` setting is not configured in `indico.conf`. **Recommendations** Update to Indico version 3.3.12 as soon as possible. Enable the containerized LaTeX renderer using `podman` to isolate it from the rest of the system. Remove the `XELATEX PATH` setting from `indico.conf` or set it to `None` and restart the `indico-uwsgi` and `indico-celery` services to disable LaTeX functionality.