Kagty1O

**Nome do Software Vulnerável e Versões Afetadas** tianti versão 2.3 **Descrição** A falha permite que atacantes executem operações arbitrárias por meio de uma solicitação GET ou POST forjada ao endpoint da API /user/ajax/save. Isso se deve a uma vulnerabilidade de Cross-Site Request Forgery (CSRF). **Recomendações** Para a versão 2.3, considere restringir o acesso ao endpoint da API /user/ajax/save até que um patch esteja disponível. Como solução temporária, evite utilizar este endpoint para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** tianti version 2.3 **Description** A stored cross-site scripting issue allows attackers to execute arbitrary web scripts or HTML by injecting a crafted payload into the `coverImageURL` parameter at the "/article/ajax/save" API endpoint. **Recommendations** For version 2.3, avoid using the `coverImageURL` parameter in the affected API endpoint until the issue is resolved. Consider implementing input validation and sanitization for the `coverImageURL` parameter to prevent malicious payload injection.

**Nome do Software Vulnerável e Versões Afetadas** tianti versão 2.3 **Descrição** Uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) foi descoberta no componente /user/ajax/upd/status, permitindo que atacantes executem operações arbitrárias por meio de uma requisição GET ou POST manipulada. **Recomendações** Para a versão 2.3, considere restringir o acesso ao componente /user/ajax/upd/status até que um patch esteja disponível. Como solução temporária, evite utilizar o componente vulnerável para minimizar o risco de exploração.