Gil Correia

**Nome do software vulnerável e versões afetadas** Flipsnack versão 18/03/2024 **Descrição** Uma falha no Flipsnack permite que um invasor local obtenha informações confidenciais por meio do arquivo `reader.gz.js`. **Recomendações** Para a versão 18/03/2024 do Flipsnack, considere restringir o acesso ao arquivo `reader.gz.js` como uma solução temporária até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** CrafterCMS versions 3.1.0 through 3.1.26 CrafterCMS versions 4.0.0 through 4.0.1 **Description** The issue is related to an SQL Injection vulnerability due to improper neutralization of special elements used in an SQL command. This allows for SQL Injection attacks. The vulnerability affects Crafter Studio on various operating systems and architectures. **Recommendations** For CrafterCMS versions 3.1.0 through 3.1.26, update to a version outside of this range to resolve the issue. For CrafterCMS versions 4.0.0 through 4.0.1, update to a version outside of this range to resolve the issue. As a temporary workaround, consider restricting access to sensitive SQL commands to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Craft CMS versão 4.2.0.1 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) no arquivo src/web/assets/cp/src/js/BaseElementSelectInput.js, especificamente na linha `label: elementInfo.label`. Isso sugere um problema potencial na forma como as entradas do usuário são tratadas, permitindo que scripts maliciosos sejam injetados no site. **Recomendações** Para a versão 4.2.0.1 do Craft CMS, considere desativar o arquivo `BaseElementSelectInput.js` ou restringir o acesso a ele até que um patch esteja disponível. Além disso, evite usar a variável `label` no endpoint ou função da API afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Craft CMS 3.70-RC1 a 3.7.55.1 Versões do Craft CMS 4.0.0-RC1 a 4.2.0.1 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) e pode ser explorado por meio de revisões e rascunhos de entradas. **Recomendações** Para as versões 3.70-RC1 a 3.7.55.1 do Craft CMS, atualize para a versão 3.7.55.2 para resolver o problema. Para as versões 4.0.0-RC1 a 4.2.0.1 do Craft CMS, atualize para a versão 4.2.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Craft CMS versão 4.2.0.1 **Descrição** O problema está relacionado a um ataque de Cross Site Scripting (XSS) armazenado no endpoint da API “/admin/myaccount”. Isso permite que scripts maliciosos sejam armazenados e executados na plataforma. **Recomendações** Para o Craft CMS versão 4.2.0.1, como solução temporária, considere restringir o acesso ao endpoint “/admin/myaccount” até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Craft CMS versão 4.2.0.1 **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS) armazenada. Isso ocorre por meio da página /admin/settings/fields, permitindo que possíveis invasores injetem scripts maliciosos. O cross-site scripting (XSS) é um tipo de vulnerabilidade de segurança que pode ser usada por invasores para roubar sessões de usuários, vandalizar sites ou redirecionar usuários para sites maliciosos. **Recomendações** Para a versão 4.2.0.1 do Craft CMS, como solução temporária, considere restringir o acesso à página /admin/settings/fields até que uma correção esteja disponível. Além disso, evite usar quaisquer campos potencialmente vulneráveis na página de configurações para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Craft CMS versão 4.2.0.1 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) por meio do arquivo `src/helpers/Cp.php`. Isso permite a possível execução de scripts maliciosos. **Recomendações** Para o Craft CMS versão 4.2.0.1, considere restringir o acesso ao arquivo `src/helpers/Cp.php` até que uma correção esteja disponível. Como solução temporária, evite usar qualquer funcionalidade que dependa desse arquivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.