Divinity76

**Nome do Software Vulnerável e Versões Afetadas** HestiaCP versões 1.9.0 a 1.9.4 **Descrição** Um problema de desserialização existe no componente de terminal web devido a uma incompatibilidade no formato da sessão entre PHP e Node.js. Isso permite que atacantes remotos não autenticados alcancem a execução de código em nível de root ao injetar dados manipulados em cabeçalhos HTTP. Esses cabeçalhos são processados pelo manipulador de sessão PHP e desserializados incorretamente pelo componente de terminal web Node.js como valores de sessão confiáveis, resultando na execução de comandos arbitrários em sistemas com o recurso de terminal web habilitado. **Recomendações** Atualize o HestiaCP versões 1.9.0 a 1.9.4 para uma versão corrigida. Como medida paliativa temporária, desabilite o recurso de terminal web para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** HestiaCP versões 1.2.0 a 1.9.4 **Descrição** Um problema de spoofing de IP permite que atacantes remotos não autenticados ignorem controles de segurança de autenticação. Isso ocorre quando o sistema aceita um endereço IP arbitrário fornecido no cabeçalho HTTP 'CF-Connecting-IP' sem verificar se a requisição realmente originou-se da rede Cloudflare. A exploração permite que atacantes contornem a proteção contra força bruta do fail2ban, ignorem listas de permissão de IP por usuário e poluam os logs de auditoria de autenticação simulando endereços IP confiáveis. **Recomendações** Atualize o HestiaCP para uma versão posterior à 1.9.4. Como mitigação temporária, restrinja o acesso ao painel de controle ou configure o servidor para aceitar cabeçalhos 'CF-Connecting-IP' apenas de intervalos de IP verificados da Cloudflare.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Chrome PHP anteriores à 1.14.0 **Descrição** O problema origina-se da codificação inadequada de expressões de seletores CSS, resultando em potenciais vulnerabilidades de cross-site scripting (XSS). Não há informações fornecidas sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais nos quais essa falha foi explorada. **Recomendações** Para versões anteriores à 1.14.0, considere atualizar para a versão 1.14.0 ou superior. Como solução de contorno temporária, os usuários podem aplicar codificação manualmente às suas expressões de seletores CSS, caso não possam atualizar.