Larlarua

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 expose `log js errors` to any authenticated user, including guest users when guest access is enabled. The endpoint writes attacker-controlled strings directly into the main application log. The administrator-only `logFile` view then reads that log file and embeds it into an HTML response without escaping. This creates a stored cross-site scripting condition where a low-privilege guest can inject HTML or JavaScript into the log file and have it execute in an administrator's browser when the log viewer is opened. Version 2.17.1 patches the issue.

**Nome do Software Vulnerável e Versões Afetadas** Tautulli versões anteriores a 2.17.1 **Description** O Tautulli contém um problema de Server-Side Request Forgery (SSRF) onde um endpoint público '/image/<hash>' resolve entradas de `image hash lookup` e as processa utilizando a mesma lógica de busca de imagem do lado do servidor que o proxy de imagem autenticado. Um usuário convidado de baixo privilégio pode inserir uma URL de imagem externa maliciosa na tabela de busca, permitindo que qualquer usuário externo não autenticado acione buscas do lado do servidor para uma URL arbitrária escolhida pelo invasor ao solicitar '/image/<hash>.png'. SSRF é uma falha que permite a um invasor induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido. **Recommendations** Atualizar para a versão 2.17.1.

Tautulli is a Python based monitoring and tracking tool for Plex Media Server. Versions prior to 2.17.1 expose `configUpdate` as a state-changing administrator endpoint, but the route does not enforce `POST` and does not use any anti-CSRF token. In the default form and JWT-based authentication mode, the administrator session cookie is issued with `SameSite=Lax`, which still permits top-level cross-site navigation requests. An attacker can exploit this by luring a logged-in administrator to a malicious page that submits a cross-site request to `/configUpdate` and overwrites the local administrator username and password. The attacker can then sign in directly with the chosen credentials and take over the Tautulli administrative interface. Version 2.17.1 patches the issue.

**Nome do Software Vulnerável e Versões Afetadas** Froxlor versões anteriores a 2.3.7 **Descrição** Existe um problema onde os manipuladores de conta FTP do lado do servidor não aplicam a lista de permissões `system.available shells` ao processar solicitações de adição ou edição. Isso permite que um cliente autenticado com delegação de shell habilitada envie um shell arbitrário, como `/bin/bash`, ignorando as opções restritas apresentadas na interface do painel. Em implantações que utilizam a integração padrão `nssextrausers`, o shell controlado pelo invasor é propagado para o banco de dados de contas do sistema, concedendo acesso real ao shell do host. A falha ocorre porque as funções `Ftps::add()` e `Ftps::update()` realizam apenas uma validação genérica de string em vez de verificar o shell na lista aprovada. Isso pode ser explorado através do endpoint `/customer ftp.php` manipulando o parâmetro `shell`. **Recomendações** Atualize para a versão 2.3.7. Como medida paliativa temporária, restrinja o uso do parâmetro `shell` no endpoint `/customer ftp.php` ou desabilite a delegação de shell do cliente definindo `system.allow customer shell` como 0.

**Nome do Software Vulnerável e Versões Afetadas** Froxlor versão 2.3.6 **Descrição** Uma falha de seguimento de link simbólico (symlink) existe no caminho de sincronização de chaves SSH de propriedade do root usado para usuários FTP de clientes. O código de provisionamento anexa chaves públicas a `~/.ssh/authorized keys` dentro de um diretório home controlado pelo cliente sem verificar se o caminho de destino é um link simbólico. Um invasor com uma conta de cliente com shell habilitado pode substituir `~/.ssh/authorized keys` por um symlink apontando para `/root/.ssh/authorized keys`. Quando a tarefa cron privilegiada executa a função `SshKeys::generateFiles()` e subsequentemente anexa a chave, a chave fornecida pelo invasor é adicionada ao arquivo de chaves autorizadas do usuário root, concedendo ao invasor acesso SSH de root. Este processo envolve a chamada de API `SshKeys.add` e a função `makeCorrectFile()`, que falha ao resolver ou rejeitar symlinks. **Recomendações** Atualizar para a versão 2.3.7.

**Nome do Software Vulnerável e Versões Afetadas** OpenReplay versões anteriores a 1.26.0 **Descrição** O OpenReplay é uma suíte de replay de sessão auto-hospedada. A API Python contém várias rotas 'app apikey' que confiam em um `projectKey` fornecido pelo chamador após verificar apenas a validade da chave de API e a existência do `projectKey` de destino. O fluxo de autorização não verifica se a chave de API autenticada e o projeto solicitado pertencem ao mesmo locatário (tenant). Como o design do rastreador público expõe o `projectKey` ao código do lado do navegador, um invasor com uma chave de API válida para seu próprio locatário pode usar o `projectKey` público de outro locatário para enumerar sessões de usuários vítimas e recuperar dados sensíveis de eventos de sessão através dos limites de locatários. **Recomendações** Atualizar para a versão 1.26.0.

**Nome do Software Vulnerável e Versões Afetadas** SillyTavern versões anteriores a 1.18.0 **Description** O SillyTavern é uma interface de usuário instalada localmente para interagir com grandes modelos de linguagem, mecanismos de geração de imagens e modelos de voz de texto para fala. A aplicação contém um problema de Server-Side Request Forgery (SSRF)—uma falha onde um servidor é enganado para fazer requisições a um local não pretendido—através do endpoint '/api/search/searxng'. Um usuário autenticado de baixo privilégio pode fornecer a variável `baseUrl` maliciosa, que o servidor utiliza para construir buscas externas sem realizar a validação de allowlist, intervalo de IP, DNS ou esquema. Isso permite que um invasor direcione a requisição para serviços HTTP internos ou de loopback e receba o corpo da resposta, potencialmente expondo informações de painéis administrativos internos, serviços de desenvolvimento ou endpoints de metadados de nuvem. **Recommendations** Atualize para a versão 1.18.0. Ative e configure adequadamente o filtro de Private Request Whitelisting, especialmente quando a instância estiver sendo hospedada em uma rede.

**Nome do Software Vulnerável e Versões Afetadas** BentoML versões anteriores a 1.4.39 **Description** O fluxo de trabalho de empacotamento `bentoml build` segue links simbólicos (symlinks) controlados por atacantes dentro do contexto de compilação e copia o conteúdo dos arquivos referenciados para o artefato Bento gerado. Isso ocorre porque o sistema não valida se o caminho resolvido de um arquivo permanece dentro do contexto de compilação antes de desreferenciar o caminho de origem. Um atacante pode inserir um link simbólico apontando para arquivos locais sensíveis no host de compilação, como credenciais de nuvem, chaves SSH, tokens de API ou arquivos de ambiente. Quando o processo de compilação é executado, esses arquivos são empacotados no artefato Bento e podem ser posteriormente vazados por meio de fluxos de exportação, envio (push) ou conteinerização. **Recommendations** Atualize para a versão 1.4.39.

**Nome do Software Vulnerável e Versões Afetadas** Chartbrew versões anteriores a 5.0.0 **Descrição** O Chartbrew expõe uma rota de painel legada que retorna dados de relatório de um projeto para qualquer membro autenticado da mesma equipe, independentemente de o usuário ter acesso a esse projeto específico. Isso ocorre porque a rota ignora a autorização em nível de projeto e retorna o objeto de projeto bruto. Consequentemente, um usuário de baixo privilégio na mesma equipe pode ler dados do painel de outro projeto e recuperar a senha de relatório armazenada na resposta. **Recomendações** Atualizar para a versão 5.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Chartbrew versões anteriores a 5.0.0 **Description** O Chartbrew expõe rotas públicas de recuperação e exportação de gráficos que verificam apenas o acesso público ao nível do projeto e um alternador de exportação ao nível da equipe. Essas rotas não verificam se o gráfico de destino é realmente permitido no relatório público ou se a `SharePolicy` governante permite o acesso público. Consequentemente, um invasor não autenticado que conheça um identificador de gráfico em um projeto público pode ler ou exportar dados de gráficos que foram intencionalmente ocultados do relatório. **Recommendations** Atualizar para a versão 5.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Chartbrew versão 4.9.0 **Descrição** O Chartbrew permite que usuários autenticados com acesso a um projeto atualizem ou excluam um registro de SharePolicy pertencente a um projeto diferente. A aplicação autoriza o chamador com base no projeto no caminho da URL, mas não verifica se o `policy id` pertence a esse projeto específico. Isso permite a modificação de regras de compartilhamento de painéis entre projetos, incluindo visibilidade, requisitos de senha, parâmetros permitidos e configurações de expiração. **Recomendações** Atualizar para a versão 5.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Chartbrew versões anteriores a 5.0.0 **Descrição** O Chartbrew é uma aplicação web de código aberto utilizada para criar gráficos ligando-se a bases de dados e APIs. A aplicação expõe o endpoint "POST /api/chart/:chart id/query" sem autenticação. O sistema verifica apenas a configuração `team.allowReportRefresh` e não valida se o gráfico alvo pertence a um relatório público, se o projeto é público ou se a política de partilha permite a operação. Um atacante não autenticado que possua um identificador de gráfico pode desencadear a atualização de dados e recuperar dados atuais de gráficos privados. **Recomendações** Atualizar para a versão 5.0.0.

**Nome do Software Vulnerável e Versões Afetadas** Chartbrew versões anteriores a 5.0.0 **Descrição** O Chartbrew expõe múltiplos endpoints 'dataset' e 'dataRequest' que autorizam membros de projeto com baixos privilégios no nível da equipe. O sistema falha ao não vincular o `dataset id`, `dataRequest id` e `connection id` solicitados aos projetos permitidos para o chamador. Isso permite que um invasor autenticado com acesso a um único projeto dentro de uma equipe possa ler, executar, criar, atualizar e excluir conjuntos de dados e solicitações de dados pertencentes a outros projetos na mesma equipe. Isso leva à divulgação de dados entre projetos e ao uso não autorizado de conexões de banco de dados ou APIs. **Recomendações** Atualize para a versão 5.0.0.

**Nome do Software Vulnerável e Versões Afetadas** JeecgBoot versões anteriores a 3.9.1 **Descrição** Uma injeção de SQL remota é possível através do endpoint 'loadDict'. O problema existe na função `SqlInjectionUtil()` localizada no arquivo jeecg-boot/jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java, onde a manipulação inadequada do argumento `keyword` permite o ataque. **Recomendações** Implantar o patch a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b. Como medida paliativa temporária, restrinja o acesso ao endpoint 'loadDict' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Xuxueli xxl-job versões anteriores a 3.3.3 **Descrição** Um problema existe no OpenAPI Endpoint dentro do arquivo `xxl-job-admin/src/main/java/com/xxl/job/admin/scheduler/openapi/OpenApiController.java`. A manipulação do argumento `default token` leva ao uso de uma chave criptográfica codificada rigidamente (hard-coded). Esta falha permite ataques remotos, embora seja caracterizada por alta complexidade e explorabilidade difícil. **Recomendações** Atualize para uma versão posterior a 3.3.2. Como medida paliativa temporária, restrinja o acesso ao argumento `default token` no OpenAPI Endpoint para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Xuxueli xxl-job versões anteriores a 3.3.3 **Descrição** Uma falsificação de solicitação do lado do servidor (SSRF) existe no endpoint 'trigger'. O problema reside na função `triggerJob()` dentro do arquivo `xxl-job-admin/src/main/java/com/xxl/job/admin/service/impl/XxlJobServiceImpl.java`, onde a manipulação inadequada do argumento `addressList` permite que um invasor remoto inicie solicitações não autorizadas. SSRF é uma falha que permite que um invasor induza a aplicação do lado do servidor a fazer solicitações para um destino inesperado. **Recomendações** Atualize para uma versão posterior a 3.3.2. Como medida paliativa temporária, restrinja o acesso ao endpoint 'trigger' e garanta um controle de acesso rigoroso para a função `triggerJob()`.

**Nome do Software Vulnerável e Versões Afetadas** Xuxueli xxl-job versões anteriores a 3.4.0 **Descrição** Uma falha de segurança existe no componente Execution Log Handler, na função `logDetailCat()` do arquivo `JobLogController.java`. A manipulação remota do argumento `logId` resulta em controle inadequado de identificadores de recursos. Este problema é caracterizado por alta complexidade e dificuldade de exploração. **Recomendações** Atualize para a versão 3.4.0. Como medida paliativa temporária, restrinja o acesso à função `logDetailCat()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** o2oa versões anteriores a 10.0 **Descrição** Um problema de autorização inadequada existe no componente NodeAgent, especificamente na função `syncFile()` do arquivo NodeAgent.java. Esta falha permite que um invasor remoto inicie um ataque, embora a complexidade seja alta e a explorabilidade seja considerada difícil. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o uso da função `syncFile()` no componente NodeAgent para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** o2oa versões anteriores a 10.0 **Descrição** Uma falha no componente URL Fetching permite a falsificação de solicitação do lado do servidor (SSRF), que ocorre quando um servidor é enganado para fazer solicitações a um local não pretendido. Este problema existe na função `FileAction()` do arquivo `FileAction.java` e é acionado pela manipulação do argumento `fileUrl`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `FileAction()` ou ao componente URL Fetching para minimizar o risco de exploração.