I4Bdullah

**Nome do Software Vulnerável e Versões Afetadas** Versões do Plane anteriores a 0.23 **Descrição** O problema envolve permissões inseguras no `UserSerializer` que permitem aos usuários modificar campos destinados a serem somente leitura, como o `email`. Isso pode potencialmente levar à tomada de controle da conta quando combinado com outro problema, como cross-site scripting (XSS). **Recomendações** Para versões anteriores a 0.23, atualize para a versão 0.23 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao `UserSerializer` para impedir alterações não autorizadas em campos somente leitura.

**Name of the Vulnerable Software and Affected Versions** Plane versions prior to 0.23 **Description** A cross-site scripting (XSS) vulnerability has been identified in Plane. The vulnerability allows authenticated users to upload SVG files containing malicious JavaScript code as profile images, which gets executed in victims' browsers when viewing the profile image. **Recommendations** For versions prior to 0.23, update to version 0.23 or later to resolve the issue. As a temporary workaround, consider disabling the ability to upload SVG files as profile images until a patch is available. Restrict access to the profile image feature to minimize the risk of exploitation. Avoid using the profile image feature with SVG files until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** A vulnerabilidade permite que um usuário autenticado com privilégios para adicionar ou editar anotações na guia Conteúdo crie uma anotação maliciosa. Essa anotação maliciosa pode ser executada na página de anotações, especificamente na coluna Texto da Anotação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.