Farhan Rahman

**Nome do software vulnerável e versões afetadas** Versões do flatCore anteriores à 1.5.7 **Descrição** A vulnerabilidade permite um ataque XSS por parte de um administrador através de parâmetros específicos no endpoint “acp/acp.php”, incluindo `page linkname`, `page title`, `page content` ou `page extracontent` ao editar uma página, ou `prefs pagename`, `prefs pagetitle` ou `prefs pagesubtitle` ao definir preferências do sistema. **Recomendações** Para versões anteriores à 1.5.7, atualize para a versão 1.5.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “acp/acp.php”, especificamente às seções `tn=pages&sub=edit` e `tn=system&sub=sys pref`, para minimizar o risco de exploração. Evite usar os parâmetros vulneráveis `page linkname`, `page title`, `page content`, `page extracontent`, `prefs pagename`, `prefs pagetitle` ou `prefs pagesubtitle` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do flatCore anteriores à 1.5.7 **Descrição** A vulnerabilidade permite que um administrador faça upload e execute um arquivo .php. **Recomendações** Para versões anteriores à 1.5.7, atualize para a versão 1.5.7 ou posterior para resolver o problema.