Dos-M0Nk3Y

Nome do software vulnerável e versões afetadas: Adapt Learning Adapt Authoring Tool, versões <= 0.11.3 Descrição: O problema está relacionado a um controle de acesso incorreto, permitindo que invasores com funções de Usuário Autenticado obtenham endereços de e-mail por meio do recurso “Obter usuários”. Isso ocorre devido a uma falha na lógica de verificação de permissões, em que o caractere curinga em URLs permitidas concede acesso indesejado a pontos de extremidade restritos a usuários com funções de Superadministrador, possibilitando que invasores divulguem os endereços de e-mail de todos os usuários. Recomendações: Para as versões <= 0.11.3 da Adapt Learning Adapt Authoring Tool, atualize para uma versão que corrija a falha na lógica de verificação de permissões para impedir o acesso não intencional a pontos finais restritos. Como solução alternativa temporária, considere restringir o acesso ao recurso “Obter usuários” apenas às funções de Superadministrador até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Adapt Learning Adapt Authoring Tool, versões <= 0.11.3 Descrição: Uma vulnerabilidade de injeção NoSQL permite que invasores não autenticados redefinam senhas de contas de usuário e administrador por meio do recurso “Redefinir senha”. Isso ocorre devido à validação insuficiente da entrada do usuário usada como consulta na função find() do Mongoose, possibilitando o controle total da conta de administrador. Os invasores podem então fazer upload de um plugin personalizado para executar código remotamente (RCE) no servidor que hospeda a aplicação web. Recomendações: Para as versões <= 0.11.3 da Adapt Learning Adapt Authoring Tool, atualize para uma versão superior a 0.11.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso “Redefinir senha” até que um patch esteja disponível. Além disso, restrinja a capacidade de carregar plug-ins personalizados para minimizar o risco de execução remota de código.

**Nome do software vulnerável e versões afetadas** Versões 1.409.20 e anteriores do AquilaCMS **Descrição** O problema decorre da validação insuficiente das entradas do usuário, que são processadas como uma expressão regular para localizar endereços de e-mail duplicados por meio do recurso “Adicionar um usuário”, permitindo que invasores não autenticados obtenham endereços de e-mail. **Recomendações** Para as versões 1.409.20 e anteriores, como solução temporária, considere restringir o acesso ao recurso “Adicionar um usuário” até que uma correção esteja disponível. Além disso, certifique-se de que as entradas do usuário sejam validadas minuciosamente para evitar exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.409.20 e anteriores do AquilaCMS **Descrição** Uma vulnerabilidade de injeção NoSQL permite que invasores não autenticados redefinam senhas de contas de usuário e administrador por meio do recurso “Redefinir senha”. **Recomendações** Para as versões 1.409.20 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.