Matthieu-Hackwitharts

**Nome do software vulnerável e versões afetadas** Versões 13.5.7 e anteriores do Claroline **Descrição** A vulnerabilidade permite a execução remota de código por meio do envio de arquivos arbitrários. **Recomendações** Para as versões 13.5.7 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 13.5.7 e anteriores do Claroline **Descrição** A vulnerabilidade permite que um invasor autenticado eleve seus privilégios por meio da criação arbitrária de um usuário com privilégios. Isso pode ser feito combinando uma vulnerabilidade XSS presente em vários formulários de upload com uma solicitação JavaScript à API. Especificamente, é possível acionar a criação de um usuário com direitos administrativos ao abrir um arquivo SVG como usuário administrador. **Recomendações** Para as versões 13.5.7 e anteriores do Claroline, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Claroline anteriores à 13.5.8 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) por meio do upload de arquivos SVG. Isso significa que um invasor poderia, potencialmente, injetar scripts maliciosos no sistema ao enviar arquivos SVG especialmente criados para esse fim. **Recomendações** Para versões anteriores à 13.5.8, atualize para uma versão que inclua a correção para este problema, a fim de prevenir ataques de Cross Site Scripting (XSS) por meio do upload de arquivos SVG. Como solução temporária, considere restringir o upload de arquivos SVG ou implementar validação e sanitização adicionais para os arquivos enviados, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 13.5.7 e anteriores do Claroline **Descrição** A vulnerabilidade permite que um invasor execute código JavaScript arbitrário ao adicioná-lo ao campo `Location` de um evento do calendário, o que pode levar à execução de código JavaScript. **Recomendações** Para as versões 13.5.7 e anteriores do Claroline, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.