Hoan Hoang

**Nome do software vulnerável e versões afetadas** Versões do October CMS de 1.0.319 a 1.0.470 **Descrição** O October CMS é uma plataforma CMS gratuita, de código aberto e auto-hospedada, baseada no framework PHP Laravel. Nas versões afetadas, usuários de backend com a função padrão do sistema “Publisher” têm acesso para criar e gerenciar usuários, permitindo-lhes escolher qual função o novo usuário terá. Isso significa que um usuário com acesso “Publisher” tem a capacidade de elevar seu acesso para “Developer”. **Recomendações** Para as versões 1.0.319 a 1.0.470, atualize para a Build 470 (v1.0.470) ou v1.1.1 para resolver o problema. Como solução alternativa temporária para versões que não podem ser atualizadas para a Build 470 ou v1.1.1, aplique o patch manual disponível em https://github.com/octobercms/october/commit/78a37298a4ed4602b383522344a31e311402d829 à sua instalação.

**Nome do software vulnerável e versões afetadas** Versões do October CMS de 1.0.319 a 1.0.468 **Descrição** A vulnerabilidade permite que usuários do backend com permissão para fazer upload de arquivos enviem arquivos SVG sem que seja aplicada qualquer sanitização aos arquivos enviados. Como os arquivos SVG podem ser interpretados como HTML pelos navegadores, isso significa que, teoricamente, eles poderiam enviar código JavaScript que seria executado em um caminho sob o domínio do site; no entanto, para isso, teriam que convencer o alvo a visitar esse local diretamente no navegador do próprio alvo. O backend não exibe SVGs inline em nenhum lugar, e os SVGs são exibidos apenas como recursos de imagem no backend, sendo, portanto, incapazes de serem executados. **Recomendações** Para as versões 1.0.319 a 1.0.468, atualize para a Build 469 (v1.0.469) ou v1.1.0 para resolver o problema. Como solução alternativa temporária, considere aplicar manualmente o patch disponível em https://github.com/octobercms/library/commit/80aab47f044a2660aa352450f55137598f362aa4 à sua instalação, caso não seja possível atualizar para a Build 469 ou v1.1.0. Restrinja o acesso ao upload de arquivos SVG até que o problema seja resolvido.