Jkana

**Nome do software vulnerável e versões afetadas** Gila CMS versão 1.16.0 **Descrição** A vulnerabilidade permite que um invasor faça o upload de um shell para o diretório tmp e abuse do arquivo .htaccess por meio da função logs para executar arquivos PHP. **Recomendações** Para o Gila CMS versão 1.16.0, considere desativar a função logs como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao diretório tmp para minimizar o risco de exploração. Evite usar a função logs para executar arquivos PHP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HorizontCMS versão 1.0.0-beta **Descrição** A vulnerabilidade permite que um invasor remoto autenticado envie código PHP por meio de um arquivo zip ao fazer o upload de um tema. O invasor pode então executar o arquivo PHP por meio de uma solicitação HTTP GET para /themes/<php file name>. **Recomendações** Para o HorizontCMS versão 1.0.0-beta, considere restringir o acesso ao recurso de upload de temas para impedir uploads não autorizados de arquivos até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao diretório /themes/ para minimizar o risco de exploração.