Far-Horizons

**Nome do Software Vulnerável e Versões Afetadas** Versões do CI4MS anteriores à 0.28.5.0 **Descrição** O CI4MS, um esqueleto de CMS baseado em CodeIgniter 4, contém uma falha em sua implementação de autenticação que permite a um atacante não autenticado determinar se um endereço de e-mail está registrado no sistema. Isso é feito observando a resposta da aplicação durante o processo de redefinição de senha. O sistema afetado oferece uma arquitetura modular pronta para produção com autorização RBAC e suporte a temas. **Recomendações** Atualize para a versão 0.28.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CI4MS anteriores a 0.28.5.0 **Descrição** O CI4MS é um esqueleto de CMS baseado no CodeIgniter 4 que fornece uma arquitetura modular pronta para produção com autorização RBAC e suporte a temas. Um usuário autenticado com permissões de editor de arquivos pode obter Execução Remota de Código (RCE) aproveitando os endpoints de criação e salvamento de arquivos. Um invasor pode fazer upload e executar código PHP arbitrário no servidor. A vulnerabilidade é acionada através do editor de arquivos, permitindo a criação arbitrária de arquivos. Os endpoints vulneráveis são os de criação e salvamento de arquivos. O parâmetro `file` está envolvido no processo de criação de arquivos. **Recomendações** Atualize o CI4MS para a versão 0.28.5.0 ou posterior.