Lunax0

**Nome do software vulnerável e versões afetadas** icecms versões 3.4.7 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade no upload de arquivos. Ela afeta a função `uploadFile` no arquivo `FileUtils.java`. **Recomendações** Para as versões 3.4.7 e anteriores, atualize para uma versão posterior à 3.4.7 para resolver o problema. Como solução temporária, considere desativar a função `uploadFile` em `FileUtils.java` até que um patch esteja disponível. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IceCMS versões 3.4.7 e anteriores **Descrição** A vulnerabilidade permite que invasores contornem a autenticação inserindo valores arbitrários como `username` e `password` por meio do método `loginAdmin` no arquivo `UserController.java`. Isso possibilita o acesso não autorizado. **Recomendações** Para as versões 3.4.7 e anteriores do IceCMS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 3.4.7 e anteriores do IceCMS **Descrição** Uma falha no controle de acesso na função `CheckVip`, localizada no arquivo `UserController.java` do IceCMS, permite que invasores não autenticados acessem e recuperem todas as informações do usuário, incluindo senhas. **Recomendações** Para as versões 3.4.7 e anteriores do IceCMS, como solução temporária, considere desativar a função `CheckVip` no `UserController.java` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 3.4.7 e anteriores do IceCMS **Descrição** A vulnerabilidade permite que invasores modifiquem arbitrariamente as informações dos usuários, incluindo `username` e `password`, por meio de uma solicitação POST maliciosa enviada ao endpoint “/User/ChangeUser/s” na função `ChangeUser` do arquivo `UserController.java`. **Recomendações** Para as versões 3.4.7 e anteriores do IceCMS, como solução temporária, considere desativar a função `ChangeUser` em `UserController.java` até que um patch esteja disponível. Restrinja o acesso ao endpoint “/User/ChangeUser/s” para minimizar o risco de exploração. Evite usar as variáveis `username` e `password` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 3.4.7 e anteriores do IceCMS **Descrição** A vulnerabilidade permite que um invasor falsifique informações de autenticação JWT devido a uma chave JWT codificada de forma rígida. **Recomendações** Para as versões 3.4.7 e anteriores do IceCMS, atualize para uma versão que não contenha a chave JWT codificada para impedir que invasores falsifiquem informações de autenticação JWT. Como solução temporária, considere regenerar e atualizar a chave JWT para um valor seguro e não codificado até que uma versão corrigida esteja disponível.