Harry Goodman

**Nome do software vulnerável e versões afetadas** Piwigo versão 11.4.0 **Descrição** A vulnerabilidade permite a injeção de SQL por meio do parâmetro `order[0][dir]` no endpoint `admin/user list backend.php`. **Recomendações** Para a versão 11.4.0 do Piwigo, como solução temporária, considere restringir o acesso ao endpoint `admin/user list backend.php` até que uma correção esteja disponível. Evite usar o parâmetro `order[0][dir]` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da extensão Piwigo LocalFilesEditor anteriores à 11.4.0.1 **Descrição** A vulnerabilidade permite a inclusão de arquivos locais devido à falta de validação adequada do parâmetro `file` no arquivo `show default.php`. **Recomendações** Para versões anteriores à 11.4.0.1, atualize para a versão 11.4.0.1 ou posterior para resolver o problema.