Dhimitri

Nome do software vulnerável e versões afetadas: playSMS, versões 1.4.4 a 1.4.7 Descrição: Foi identificada uma vulnerabilidade crítica no playSMS, afetando uma função desconhecida do arquivo /playsms/index.php?app=main&inc=core auth&route=forgot&op=forgot do componente Template Handler. A manipulação dos argumentos `username`, `email` ou `captcha` leva à injeção de código. É possível lançar o ataque remotamente. A complexidade de um ataque é bastante alta, e a explorabilidade é considerada difícil. A exploração foi divulgada ao público e pode ser utilizada. Recomendações: Para resolver o problema, atualize o componente afetado para a versão >=1.4.4 ou use o pacote playsms/tpl mais recente. Como solução temporária, considere restringir o acesso ao componente Template Handler vulnerável até que um patch esteja disponível. Evite usar os argumentos `username`, `email` ou `captcha` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** playSMS versão 1.4.3 **Descrição** Foi encontrada uma vulnerabilidade no componente Template Handler, especificamente no arquivo /index.php?app=main&inc=feature firewall&op=firewall list. A manipulação do argumento `id` leva à injeção. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o playSMS versão 1.4.3, como solução temporária, considere restringir o acesso ao endpoint /index.php?app=main&inc=feature firewall&op=firewall list até que uma correção esteja disponível. Evite usar o argumento `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** playSMS versão 1.4.3 **Descrição** Foi encontrada uma vulnerabilidade no componente Template Handler do playSMS, afetando alguma funcionalidade desconhecida do arquivo /index.php?app=main&inc=feature inboxgroup&op=list. A manipulação do argumento `id` leva à injeção. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o playSMS versão 1.4.3, como solução temporária, considere restringir o acesso ao endpoint /index.php?app=main&inc=feature inboxgroup&op=list para minimizar o risco de exploração. Evite usar o argumento `id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: playSMS versão 1.4.3 Descrição: Foi encontrada uma vulnerabilidade no componente New Phonebook Handler, afetando uma função desconhecida do arquivo “/index.php?app=main&inc=feature phonebook&op=phonebook list”. A manipulação do argumento `name` ou `email` leva a um cross-site scripting básico. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para a versão 1.4.3 do playSMS, como solução temporária, considere restringir o acesso ao endpoint “/index.php?app=main&inc=feature phonebook&op=phonebook list” até que um patch esteja disponível. Evite usar os argumentos `name` e `email` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do playSMS até a 1.4.7 Descrição: Foi encontrada uma vulnerabilidade problemática no componente SMS Schedule Handler. O problema afeta uma função desconhecida do arquivo /index.php?app=main&inc=feature schedule&op=list. A manipulação do argumento `name/message` leva a um cross-site scripting básico. É possível lançar o ataque remotamente. Recomendações: Para versões do playSMS até 1.4.7, atualize para a versão 1.4.8 para resolver este problema. Como solução temporária, considere restringir o acesso ao endpoint `/index.php?app=main&inc=feature schedule&op=list` até que a atualização seja aplicada. Evite usar o argumento `name/message` no endpoint afetado até que o problema seja resolvido.