Kevin Rosales

**Nome do software vulnerável e versões afetadas** WonderCMS versão 3.4.3 **Descrição** O problema está relacionado a uma vulnerabilidade de upload de arquivos arbitrários na função `uploadFileAction()`. Isso permite que invasores executem código arbitrário por meio de um arquivo SVG malicioso. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o WonderCMS versão 3.4.3, considere desativar a função `uploadFileAction()` até que um patch esteja disponível para impedir a execução de código arbitrário por meio de arquivos maliciosos. Restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WonderCMS versão 3.4.3 **Descrição** Uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) na página de plugins permite que invasores forcem a aplicação a realizar solicitações arbitrárias por meio da injeção de URLs maliciosas no parâmetro `pluginThemeUrl`. **Recomendações** Para o WonderCMS versão 3.4.3, como solução temporária, considere restringir o acesso à página Plugins ou validar o parâmetro `pluginThemeUrl` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.