Echosl0W

**Nome do software vulnerável e versões afetadas** InfoDom Performa 365 versão 4.0.1 **Descrição** Uma falha no InfoDom Performa 365 permite que invasores autenticados elevem seus privilégios para Administrador por meio de uma carga maliciosa enviada para “/api/users”. **Recomendações** Para a versão 4.0.1, considere restringir o acesso ao endpoint “/api/users” até que uma correção esteja disponível. Como solução temporária, revise e limite os privilégios dos usuários para evitar possíveis explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** InfoDom Performa 365 versão 4.0.1 **Descrição** O problema está relacionado a uma vulnerabilidade de upload arbitrário de arquivos autenticados no endpoint “/documentCache/upload”. Isso permite que invasores executem código arbitrário ao fazer upload de um arquivo SVG malicioso. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o InfoDom Performa 365 versão 4.0.1, considere desativar o endpoint “/documentCache/upload” até que uma correção esteja disponível para impedir a exploração. Além disso, restrinja o upload de arquivos SVG neste endpoint para minimizar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.