Georgii Shutiaev

**Nome do Software Vulnerável e Versões Afetadas** WordPress Toolkit versões anteriores a 6.11.0 **Descrição** Um problema de injeção de argumento existe no software conforme utilizado no cPanel & WHM. Isso permite que usuários remotos autenticados ignorem a autorização entre locatários (cross-tenant) e executem comandos CLI do wp-toolkit arbitrários no contexto de outra conta. **Recomendações** Atualize para a versão 6.11.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Plesk versões anteriores a 18.0.75.1 Plesk versões anteriores a 18.0.76.2 **Description** Um problema de injeção de XPath existe na funcionalidade de pesquisa do Catálogo de Aplicativos APS. Isso ocorre porque a entrada fornecida pelo usuário é interpolada em consultas XPath sem a sanitização adequada. Um usuário autenticado com baixos privilégios pode explorar isso para executar comandos arbitrários do sistema operacional no servidor, resultando em escalonamento de privilégios locais. Mais de 1,8 milhão de dispositivos foram identificados como potencialmente afetados via consultas FOFA no último ano. **Recommendations** Atualize para a versão 18.0.75.1. Atualize para a versão 18.0.76.2.

**Nome do Software Vulnerável e Versões Afetadas** Comet Backup versões anteriores a 26.4.3 Comet Backup versões anteriores a 26.5.0 **Description** A filtragem insuficiente de caracteres no módulo de assinatura do agente de backup permite que um administrador de locatário autenticado com permissões de branding execute código arbitrário no servidor e nos dispositivos conectados em nome de um usuário privilegiado. Isso é realizado através do upload de arquivos `.dll` ou `.so` maliciosos por meio da configuração de branding e da geração de um cliente backup-tool. A exploração bem-sucedida pode levar ao controle total da instância do servidor e ao acesso não autorizado a arquivos de configuração e dados de backup. **Recommendations** Atualize para a versão 26.4.3 ou posterior. Atualize para a versão 26.5.0 ou posterior.