Eyodav

**Nome do Software Vulnerável e Versões Afetadas** OpenPLC Runtime versão 3 **Descrição** O software contém uma falha de validação de entrada no endpoint da API `/upload-program-action`. O parâmetro `epoch time`, ao submeter uploads de programa, não é validado, podendo levar à corrupção do banco de dados de programas. Um exploit bem-sucedido permite a operação contínua até uma reinicialização, momento em que o runtime pode falhar ao iniciar devido à corrupção do banco de dados, resultando em uma negação de serviço. A recuperação requer um rebase completo do produto. **Recomendações** Atualize para uma versão que inclua o commit 095ee09 ou o commit 095ee09623dd229b64ad3a1db38a901a3772f6fc.

**Nome do Software Vulnerável e Versões Afetadas** OpenPLC Runtime versões 3 até 9cd8f1b **Descrição** Um usuário autenticado pode fazer upload de arquivos arbitrários, como `.html` ou `.svg`, através do endpoint `/edit-user` no servidor web. Esses arquivos carregados tornam-se então publicamente acessíveis na URI `/static`. **Recomendações** Restringir o acesso ao endpoint `/edit-user` para impedir upload de arquivos não autorizados. Desativar ou remover a capacidade de fazer upload de arquivos através do endpoint `/edit-user`.