Duy Anh

**Nome do software vulnerável e versões afetadas** mojoPortal versão 2.7 **Descrição** A falha permite que invasores autenticados leiam arquivos arbitrários no sistema devido a uma vulnerabilidade de traversal de caminho. Essa vulnerabilidade pode ser explorada por meio do parâmetro `f` no endpoint da API “/DesignTools/CssEditor.aspx”. **Recomendações** Para o mojoPortal versão 2.7, considere restringir o acesso ao endpoint da API “/DesignTools/CssEditor.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `f` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** mojoPortal versão 2.7 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PNG malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários. **Recomendações** Para o mojoPortal versão 2.7, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de upload de arquivos arbitrários.