Frostnull

**Nome do software vulnerável e versões afetadas** Versões do Gila CMS anteriores à 1.11.6 **Descrição** O problema está relacionado a um ataque XSS refletido, que ocorre por meio do parâmetro `id` no endpoint `admin/content/postcategory`. Esse parâmetro é tratado incorretamente quando `g preview theme` é utilizado. **Recomendações** Para versões anteriores à 1.11.6, atualize para a versão 1.11.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `admin/content/postcategory` até que a atualização seja aplicada. Evite usar o parâmetro `id` neste endpoint até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Gila CMS anteriores à 1.11.6 **Descrição** A vulnerabilidade permite um ataque CSRF com consequente XSS por meio da URI “admin/themes”, podendo levar ao comprometimento da conta de administrador. **Recomendações** Para versões anteriores à 1.11.6, atualize para a versão 1.11.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à URI “admin/themes” para minimizar o risco de exploração.