Forceu

**Name of the Vulnerable Software and Affected Versions** Gokapi versions prior to 2.2.4 **Description** Gokapi is a self-hosted file sharing server that supports automatic expiration and encryption. An API endpoint is susceptible to accepting request bodies of unlimited size. An authenticated user can exploit this to cause an Out-Of-Memory (OOM) kill, leading to a complete service disruption for all users. The issue impacts the server's stability and availability. The affected API endpoint accepts unbounded request bodies. The `request body` is the vulnerable parameter. **Recommendations** Update to version 2.2.4 or later.

**Nome do Software Vulnerável e Versões Afetadas** Gokapi, versões anteriores a 2.2.3 **Descrição** O Gokapi é um servidor de compartilhamento de arquivos auto-hospedado que oferece suporte a expiração automática e criptografia. Um usuário registrado sem as permissões necessárias para criar ou modificar solicitações de arquivos pode gerar uma chave API de curta duração que lhe concede essas permissões. Este problema afeta sistemas nos quais nenhum outro usuário tem acesso ao menu admin/upload. A chave API permite a criação ou modificação não autorizada de solicitações de arquivos. **Recomendações** Atualize para a versão 2.2.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Gokapi anteriores à 2.0.0 **Descrição** O Gokapi é um servidor de compartilhamento de arquivos auto-hospedado com suporte a expiração automática e criptografia. A vulnerabilidade permite que um usuário autenticado injete JS na visão geral da chave de API ao renomear o nome amigável de uma chave de API. Este JS injetado seria executado quando outro usuário clicasse na aba de API. Antes da versão 2.0.0, todos os usuários autenticados podiam ver e modificar todos os recursos devido à falta de um sistema de permissões de usuário, e a chave de criptografia tinha que ser a mesma para todos os usuários. **Recomendações** Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 para resolver o problema. Como medida de contorno temporária, considere não abrir a página de API se houver a possibilidade de que outro usuário possa ter injetado código.