Keke

**Nome do Software Vulnerável e Versões Afetadas** playeduxyz PlayEdu versões 1.8 e anteriores **Descrição** Um problema foi encontrado no processamento do arquivo "/api/backend/v1/user/create" do componente User Avatar Handler. A manipulação do argumento `Avatar` resulta em falsificação de solicitação no lado do servidor. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões 1.8 e anteriores, como solução temporária, considere desativar o argumento `Avatar` no endpoint da API "/api/backend/v1/user/create" até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Westboy CicadasCMS versão 1.0 Descrição: Uma vulnerabilidade crítica foi encontrada no Westboy CicadasCMS, afetando uma parte desconhecida do arquivo /upload/ do componente JSP Parser. A manipulação do argumento `File` resulta em upload irrestrito. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Como solução temporária, considere desativar a funcionalidade de upload de arquivos no componente /upload/ até que um patch esteja disponível. Restrinja o acesso ao componente JSP Parser para minimizar o risco de exploração. Evite utilizar o argumento `File` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.