Fasse

**Nome do Software Vulnerável e Versões Afetadas** Versões do Admidio anteriores a 5.0.6 **Descrição** O Admidio é uma solução de gerenciamento de usuários. Existe uma vulnerabilidade na lógica de participação em eventos no arquivo `modules/events/events function.php`. Isso permite que qualquer usuário autorizado a participar de um evento registre ou cancele a participação de outros usuários manipulando o parâmetro GET `user uuid`. O problema decorre de uma instrução condicional incorreta que utiliza o operador OR (`||`), permitindo que qualquer usuário especifique um `user uuid` diferente e opere com o ID do usuário de destino (`usr id`) em vez do ID do usuário atual. Isso pode levar a registros indesejados, cancelamentos ou manipulação dos dados dos participantes do evento. O código vulnerável opera com `$user->getValue('usr id')`. **Recomendações** As versões anteriores a 5.0.6 devem ser atualizadas para a versão 5.0.6 ou posterior. Como solução temporária, para usuários não líderes, forçar o parâmetro `user uuid` a corresponder ao UUID do usuário atual.

**Nome do software vulnerável e versões afetadas** Versões do Admidio anteriores à 4.0.4 **Descrição** O problema está relacionado a uma vulnerabilidade de execução remota de código (RCE) autenticada por meio do upload de arquivos .phar no Admidio. Um invasor com permissões de upload pode renomear um web shell PHP com extensão .phar e acionar a carga útil para um shell reverso/bind ao acessar o arquivo. Isso pode ser explorado por meio do recurso de upload de Documentos e Arquivos. A vulnerabilidade pode ser mitigada excluindo o upload de arquivos com extensão .phar. **Recomendações** Para versões anteriores à 4.0.4, atualize para a versão 4.0.4 para resolver o problema. Como solução temporária, considere excluir o upload de arquivos com extensão .phar para impedir a exploração.