Jenaye

**Nome do software vulnerável e versões afetadas** Pligg versão 2.0.3 **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos arbitrários. Isso é possível porque o editor de modelos pode editar qualquer arquivo. Por exemplo, um invasor pode enviar uma solicitação para `admin/admin editor.php` com parâmetros como `the file=..%2Findex.php` e `open=Open` para executar comandos arbitrários. **Recomendações** Para a versão 2.0.3 do Pligg, restrinja o acesso ao editor de modelos para impedir edições não autorizadas de arquivos. Como solução temporária, considere desativar o editor de modelos até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** aaPanel versões 6.6.6 e anteriores **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos arbitrários por meio de metacaracteres de shell em uma solicitação modificada “/system?action=ServiceAdmin” ao menu de configurações da Loja de Software. Isso pode ser feito por meio de ações de iniciar, parar ou reiniciar. **Recomendações** Para as versões 6.6.6 e anteriores, considere desativar o acesso ao endpoint “/system?action=ServiceAdmin” até que uma correção esteja disponível. Restrinja o uso de metacaracteres de shell nas solicitações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** aaPanel versões 6.6.6 e anteriores **Descrição** A falha permite que usuários remotos autenticados executem comandos arbitrários por meio da caixa “Conteúdo do script” na tela “Adicionar tarefa Cron”. Isso pode ser feito explorando a vulnerabilidade na caixa “Conteúdo do script”, que faz parte da funcionalidade “Adicionar tarefa Cron”. **Recomendações** Para as versões 6.6.6 e anteriores, considere desativar o recurso `Adicionar Tarefa Cron` ou restringir o acesso à caixa `Conteúdo do Script` até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o uso da caixa `Conteúdo do Script` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** KumbiaPHP versões 1.1.1 e anteriores **Descrição** A vulnerabilidade permite um ataque XSS por meio do PATH INFO “public/pages/kumbia”, especificamente quando o KumbiaPHP está no modo de desenvolvimento. **Recomendações** Para as versões 1.1.1 e anteriores, considere desativar o modo de desenvolvimento para mitigar o risco de exploração. Restrinja o acesso ao PATH INFO “public/pages/kumbia” para minimizar o risco de ataques XSS. Evite usar a variável `PATH INFO` no endpoint da API afetado até que o problema seja resolvido.