Joebeeton

**Nome do software vulnerável e versões afetadas** Versões do SkillTree anteriores à 2.12.6 **Descrição** O problema diz respeito a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no endpoint `/admin/projects/{projectname}/skills/{skillname}/video`, que está sujeito a exploração devido à falta de medidas de mitigação de CSRF, como um sinalizador de mesmo site ou um token de CSRF. Isso permite que um invasor execute um ataque CSRF contra uma conta de administrador conectada, possibilitando a modificação de vídeos, legendas e textos de habilidades. **Recomendações** Para versões anteriores à 2.12.6, atualize para a versão 2.12.6 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/admin/projects/{projectname}/skills/{skillname}/video` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Togglz anteriores à 2.9.4 **Descrição** O problema diz respeito à falta de proteção contra CSRF no console do Togglz, o que poderia permitir que um invasor adivinhasse o valor do token CSRF. Essa falta de proteção torna o console suscetível a ataques de falsificação de solicitação entre sites (CSRF). **Recomendações** Para versões anteriores à 2.9.4, atualize para a versão 2.9.4 ou posterior, que adiciona a proteção CSRF necessária ao console do Togglz.