Kirill Kalimmulin

**Nome do software vulnerável e versões afetadas** Versões do SkySystem Arfa-CMS anteriores à 5.1.3124 **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no painel de administração permite que invasores remotos adicionem um novo administrador, levando à escalada de privilégios. Esse problema permite que invasores realizem ações não autorizadas, comprometendo potencialmente a segurança do sistema. **Recomendações** Para versões do SkySystem Arfa-CMS anteriores à 5.1.3124, atualize para a versão 5.1.3124 ou posterior para resolver o problema. Como solução temporária, considere implementar medidas de segurança adicionais para prevenir ataques CSRF, tais como validar solicitações de usuários e garantir o gerenciamento adequado de sessões. Restrinja o acesso ao painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do SkySystem Arfa-CMS anteriores à 5.1.3124 **Descrição** Uma vulnerabilidade de injeção de SQL no componente de enquetes permite que invasores remotos executem comandos SQL arbitrários por meio do parâmetro `psid`. Isso permite que os invasores manipulem consultas ao banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados. **Recomendações** Para versões anteriores à 5.1.3124, atualize para a versão 5.1.3124 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente de enquete até que um patch seja aplicado. Evite usar o parâmetro `psid` nos componentes afetados até que o problema seja resolvido.