Maru1009

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** Um problema de Cross-Site Request Forgery (CSRF) existe no método `install package()` do endpoint 'concrete/controllers/single page/dashboard/extend/install.php'. Um invasor pode forçar um administrador autenticado com permissões `canInstallPackages` a instalar um pacote, caso o invasor já tenha colocado um pacote em `DIR PACKAGES/<handle>/`. Como o processo de instalação executa o método `install()` do controlador do pacote como o usuário do servidor web, isso pode levar à execução remota de código. **Recomendações** Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao endpoint 'concrete/controllers/single page/dashboard/extend/install.php' ou desative a função `install package()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** Existe uma falha de bypass na validação do token Cross-Site Request Forgery (CSRF) onde a view `local available update.php` emite um token via `$token->output('do update')`, mas a função `do update()` em `concrete/controllers/single page/dashboard/system/update/update.php` não chama `$this->token->validate('do update')`. Embora o formulário seja renderizado como um formulário POST, o controlador descarta o token sem verificação. Isso permite que um invasor crie uma requisição POST cross-site para disparar uma atualização do núcleo do CMS para uma string de versão especificada pelo invasor. Para que isso ocorra, a vítima deve passar por `canUpgrade()` e uma versão de atualização válida deve estar presente em `DIR CORE UPDATES`. **Recomendações** Atualize para uma versão posterior a 9.5.0. Como medida paliativa temporária, restrinja o acesso à função `do update()` em `concrete/controllers/single page/dashboard/system/update/update.php` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um valor único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/update/prepare remote upgrade/<remoteMPID>'. Um invasor que controle o pacote remoto retornado para um ID de item de marketplace conhecido pode sobrescrever o PHP do pacote no disco e forçar a execução da função `upgrade()` através de uma única navegação no navegador. Isso resulta na execução remota de código como o usuário do servidor web. Para que isso ocorra, a vítima deve possuir permissões `canInstallPackages`, o site deve estar conectado ao marketplace do Concrete e o invasor deve controlar o pacote retornado para um ID de item de marketplace já instalado no site da vítima. **Recomendações** Atualize para uma versão posterior à 9.5.0.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões 9.5.0 e anteriores **Description** O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um identificador único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/install/download/<remoteId>'. A função `download()` em 'concrete/controllers/single page/dashboard/extend/install.php' verifica apenas a permissão `canInstallPackages()` antes de buscar um pacote remoto do marketplace e salvá-lo no diretório `DIR PACKAGES` do servidor. Como este endpoint é uma rota GET de alteração de estado sem a aplicação de tokens, um invasor pode enganar um administrador autenticado para visitar uma página maliciosa e forçar o download de um pacote arbitrário do marketplace. Para que isso ocorra, o administrador deve possuir a permissão `canInstallPackages()` e o site deve estar conectado ao marketplace do Concrete. **Recommendations** Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/dashboard/extend/install/download/<remoteId>' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um identificador único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/update/do update/<pkgHandle>'. A função `do update()` em 'concrete/controllers/single page/dashboard/extend/update.php' verifica apenas a condição `canInstallPackages()` antes de executar `upgradeCoreData()` e `upgrade()` no controlador do pacote especificado. Como este endpoint é uma rota GET de alteração de estado sem imposição de token, um invasor pode enganar um administrador autenticado para disparar a atualização de um pacote por meio de navegação cross-site, desde que o administrador passe na verificação `canInstallPackages()` e o pacote alvo já esteja instalado. **Recomendações** Atualize para uma versão posterior à 9.5.0.

Nome do Software Vulnerável e Versões Afetadas SillyTavern versões anteriores a 1.17.0 Descrição Uma vulnerabilidade de path traversal existe no endpoint da API `/api/chats/import`. Um invasor autenticado pode gravar arquivos em locais fora do diretório de chats pretendido injetando sequências de traversal no parâmetro `character name`. O parâmetro `character name` é usado sem a devida sanitização ao construir o nome do arquivo de destino. Isso permite que um invasor escape da estrutura de diretórios pretendida e grave arquivos em locais arbitrários, como `/tmp/...`, levando potencialmente a problemas de integridade e disponibilidade. Recomendações Atualize para a versão 1.17.0 ou posterior do SillyTavern.

Nome do Software Vulnerável e Versões Afetadas SillyTavern versões anteriores a 1.17.0 Descrição Uma vulnerabilidade de travessia de caminho existe nos endpoints de chat do SillyTavern. Um invasor autenticado pode ler e excluir arquivos arbitrários sob o diretório de dados do usuário, como `secrets.json` e `settings.json`, manipulando o parâmetro `avatar url` com um valor de "..". O validador de entrada para `avatar url` bloqueia inadequadamente segmentos de travessia como `..`, permitindo a construção de caminhos de arquivo maliciosos. Os endpoints vulneráveis incluem os caminhos de exportação e exclusão. Isso permite acesso direto a arquivos fora do diretório de chats pretendido. A exploração bem-sucedida pode levar à exposição de dados confidenciais do usuário e à exclusão de arquivos críticos, potencialmente interrompendo a operação da conta. Recomendações Atualize para a versão 1.17.0 ou posterior do SillyTavern.

**Name of the Vulnerable Software and Affected Versions** Lodash versions prior to 4.18.0 **Description** Lodash versions 4.17.23 and earlier are susceptible to prototype pollution through the ` .unset` and ` .omit` functions. The initial fix did not fully address the issue, as an attacker can bypass the check by using array-wrapped path segments. This allows for the deletion of properties from built-in prototypes like Object.prototype, Number.prototype, and String.prototype. The issue allows deletion of prototype properties but does not permit overwriting their original behavior. **Recommendations** Upgrade to version 4.18.0 or later.

**Name of the Vulnerable Software and Affected Versions** DiceBear versions prior to 9.4.0 **Description** DiceBear is an avatar library used by designers and developers. A flaw exists in the `ensureSize()` function within the `@dicebear/converter` component, prior to version 9.4.0, where it reads the `width` and `height` attributes from input SVG files to determine the output canvas size for rasterization processes like PNG, JPEG, WebP, and AVIF conversion. An attacker can exploit this by providing a specially crafted SVG file with excessively large dimensions, such as `width="999999999"`. This manipulation can force the server to allocate an excessive amount of memory, potentially leading to a denial-of-service condition. This issue primarily impacts server-side applications that process untrusted or user-supplied SVG files using the `toPng()`, `toJpeg()`, `toWebp()`, or `toAvif()` functions of the converter. While applications that only convert self-generated DiceBear avatars are not easily exploitable, upgrading is still recommended. **Recommendations** Versions prior to 9.4.0 should be updated to version 9.4.0 or later. If an immediate upgrade is not possible, validate and sanitize the `width` and `height` attributes of any untrusted SVG input before passing it to the converter.

**Name of the Vulnerable Software and Affected Versions** Kargo versions 1.4.0 through 1.6.3 Kargo versions 1.7.0-rc.1 through 1.7.8 Kargo versions 1.8.0-rc.1 through 1.8.11 Kargo versions 1.9.0-rc.1 through 1.9.4 **Description** Kargo's built-in `http` and `http-download` promotion steps allow Server-Side Request Forgery (SSRF) against link-local addresses, specifically the cloud instance metadata endpoint (169.254.169.254). These steps provide full control over request headers and methods, bypassing cloud provider header-based SSRF mitigations. An authenticated attacker with permissions to create or update Stages or craft Promotion resources can exploit this by submitting a malicious Promotion manifest. Response data can be retrieved via Promotion status fields, Git repositories, or a second http step. The issue enables the exfiltration of sensitive data, such as IAM credentials. The `http` step provides full control over request method and headers, while the `http-download` step provides control over headers only. **Recommendations** Versions 1.4.0 through 1.6.3 should be upgraded to version 1.6.4 or later. Versions 1.7.0-rc.1 through 1.7.8 should be upgraded to version 1.7.9 or later. Versions 1.8.0-rc.1 through 1.8.11 should be upgraded to version 1.8.12 or later. Versions 1.9.0-rc.1 through 1.9.4 should be upgraded to version 1.9.5 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OneUptime anteriores a 10.0.21 **Descrição** Os Monitores Sintéticos do OneUptime permitem que um usuário autenticado com privilégios limitados do projeto execute comandos arbitrários no servidor/contêiner `oneuptime-probe`. A causa raiz é que código não confiável do Monitor Sintético é executado dentro do `vm` do Node, enquanto objetos `browser` e `page` do Playwright no ambiente host são expostos a ele. Um usuário malicioso pode chamar APIs do Playwright no objeto `browser` injetado e fazer com que o probe inicie um executável controlado pelo atacante. Trata-se de uma vulnerabilidade de execução remota de código no lado do servidor que não requer um escape adicional do sandbox `vm`. O probe utiliza a versão 1.58.2 do Playwright, o que permite a exploração por meio da função `BrowserType.launch()` com parâmetros controlados pelo atacante, como `executablePath` e `args`. A vulnerabilidade pode ser explorada tanto por meio de testes pontuais de monitor quanto pela execução normal de monitor agendado. **Recomendações** Versões anteriores a 10.0.21 devem ser atualizadas para a versão 10.0.21 ou posterior.

**Name of the Vulnerable Software and Affected Versions** OneUptime versions prior to 10.0.19 **Description** OneUptime’s GitHub App callback does not properly validate the `state` and `installation id` values received from a user, allowing an attacker to overwrite another project's GitHub App installation binding. The callback decodes base64 JSON from the `state` parameter and uses the embedded `projectId` directly. It then updates the `Project.gitHubAppInstallationId` with `isRoot: true` without verifying the caller's authorization for the target project. Related GitHub endpoints also lack effective authorization, enabling a valid installation ID to be used to enumerate repositories and create `CodeRepository` records in an arbitrary project. The vulnerable API endpoints include: `/api/github/auth/callback`, `/api/github/repositories`, and `/api/github/connect`. The `state` and `installation id` parameters are vulnerable. **Recommendations** Versions prior to 10.0.19 should be updated to version 10.0.19 or later.

**Name of the Vulnerable Software and Affected Versions** OneUptime versions prior to 10.0.20 **Description** OneUptime Synthetic Monitors allow low-privileged project users to submit custom Playwright code that is executed on the `oneuptime-probe` service. This code runs within Node's `vm` and is provided with live host Playwright objects, such as `browser` and `page`. This allows an attacker to use the injected `browser` object to execute arbitrary code on the probe host/container via `browser.browserType().launch(...)`. The issue stems from exposing dangerous host capabilities to untrusted code, rather than relying on traditional sandbox escapes. This can be exploited through the `Test Monitor` feature or by creating a malicious Synthetic Monitor, leading to server-side Remote Code Execution (RCE). The `customCode` is passed into `SyntheticMonitor.execute(...)` and then executed through `VMRunner.runCodeInNodeVM(...)`, which creates a Node `vm` context and exposes host objects. The proxy wrapper does not sufficiently block property names, allowing legitimate Playwright methods to be called with the real host `this` binding. **Recommendations** Versions prior to 10.0.20 should be updated to version 10.0.20 or later.

**Name of the Vulnerable Software and Affected Versions** Vito versions prior to 3.20.3 **Description** Vito is a self-hosted web application used for managing servers and deploying PHP applications. A missing authorization check in workflow site-creation actions allows an authenticated attacker with workflow write access in one project to create and manage sites on servers belonging to other projects by providing a foreign `server id`. The issue affects the workflow site-creation actions. **Recommendations** Update to version 3.20.3 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SiYuan anteriores à 3.5.9 **Descrição** O SiYuan, um sistema de gerenciamento de conhecimento pessoal, contém uma vulnerabilidade de cross-site scripting (XSS) refletido no endpoint da API de ícones dinâmicos. A vulnerabilidade ocorre quando o parâmetro `type` é definido como 8, permitindo que conteúdo controlado pelo atacante seja incorporado à saída SVG sem o devido escapamento. Como o endpoint da API ''GET /api/icon/getDynamicIcon'' não requer autenticação e retorna image/svg+xml, uma URL manipulada pode injetar manipuladores de eventos SVG/HTML executáveis, como `onerror`, e executar JavaScript dentro da origem web do SiYuan. Isso pode potencialmente levar à execução de ações de API autenticadas e à exfiltração de dados sensíveis se um usuário logado abrir o link malicioso. O problema decorre da construção insegura de saída e sanitização incompleta, especificamente a injeção direta da variável `content` em elementos SVG sem o escapamento XML/HTML adequado. O sanitizador existente apenas remove tags `<script>`, mas não aborda atributos perigosos ou elementos inseguros. **Recomendações** Versões anteriores à 3.5.9 devem ser atualizadas para a versão 3.5.9 ou posterior.