Hatboy

**Nome do software vulnerável e versões afetadas: Lin-CMS-Flask versão 0.1.1 Descrição: A vulnerabilidade permite que invasores remotos realizem tentativas de login por força bruta sem restrições por meio da função `login` no componente `app/api/cms/user.py`. Isso permite que os invasores tentem vários logins sem serem bloqueados ou restringidos, o que pode levar a um acesso não autorizado. Recomendações: Para o Lin-CMS-Flask versão 0.1.1, considere desativar temporariamente a função `login` no componente `app/api/cms/user.py` até que um patch esteja disponível para impedir tentativas de login por força bruta. Restrinja o acesso ao componente `app/api/cms/user.py` para minimizar o risco de exploração. Evite usar a função `login` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Lin-CMS-Flask versão 0.1.1 Descrição: A vulnerabilidade permite que invasores remotos executem código arbitrário ao inserir scripts no parâmetro `Username` do componente ‘app/api/cms/user.py’. Isso possibilita que os invasores realizem ataques de Cross Site Scripting (XSS). Recomendações: Para o Lin-CMS-Flask versão 0.1.1, como solução temporária, considere restringir a entrada do parâmetro `Username` no componente ‘app/api/cms/user.py’ para impedir a execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas: Lin-CMS-Flask versão 0.1.1 Descrição: A vulnerabilidade permite que invasores remotos obtenham informações confidenciais e/ou adquiram privilégios, uma vez que a aplicação não invalida o token de autenticação do usuário ao fazer logout, o que possibilita a repetição de pacotes. Isso é resultado de um controle de acesso incorreto na aplicação. Recomendações: Para o Lin-CMS-Flask versão 0.1.1, considere implementar um mecanismo para invalidar os tokens de autenticação do usuário ao fazer logout, a fim de impedir a repetição de pacotes. Como solução temporária, considere restringir o acesso a informações confidenciais e privilégios até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Django-Widgy versão 0.8.4 Descrição: A vulnerabilidade permite que invasores remotos executem código arbitrário por meio do widget ‘image’ no componente ‘Change Widgy Page’. Isso se deve ao envio irrestrito de arquivos de tipos perigosos. Recomendações: Para o Django-Widgy versão 0.8.4, considere desativar o widget ‘image’ no componente ‘Change Widgy Page’ até que uma correção esteja disponível para impedir que invasores remotos executem código arbitrário. Restrinja o acesso ao upload de arquivos para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Blog mini version 1.0 **Description** A security issue exists in the application, where an XSS attack can be performed via the author name of a comment reply. This issue is related to the articleDetails() function in the app/main/views.py file and the app/templates/ article comments.html template. **Recommendations** For Blog mini version 1.0, consider disabling the comment reply feature or restricting the author name input field in the articleDetails() function until a patch is available. Restrict access to the app/templates/ article comments.html template to minimize the risk of exploitation.