Krastanoel

**Nome do software vulnerável e versões afetadas** Versões do ZoneMinder anteriores à 1.36.13 **Descrição** O problema está relacionado a uma restrição incorreta de um caminho de diretório com acesso limitado no ZoneMinder, um software de vigilância por vídeo. Isso pode ser explorado por um invasor remoto para executar código arbitrário, enviando um arquivo especialmente criado para o servidor. A vulnerabilidade pode ser explorada por meio de um idioma inválido, o que contribui para sua explorabilidade. **Recomendações** Para versões anteriores à 1.36.13, atualize para a versão 1.36.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações de idioma para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do eLabFTW anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que invasores contornem um mecanismo de proteção contra ataques de força bruta utilizando diversos valores falsificados de `PHPSESSID` no cabeçalho do cookie HTTP. Isso foi resolvido com a implementação de proteção contra login por força bruta, conforme recomendado pela OWASP com cookies de dispositivo, o que impedirá efetivamente qualquer tentativa de adivinhar senhas por força bruta. **Recomendações** Para versões anteriores à 4.1.0, a única maneira correta de resolver isso é atualizar para a versão 4.1.0. Adicionar limitação de taxa a montante do serviço eLabFTW é uma opção válida, com ou sem atualização.