Mheranco

**Nome do Software Vulnerável e Versões Afetadas** MapTiler Tileserver-php versão 2.0 **Descrição** O MapTiler Tileserver-php v2.0 está suscetível a um problema de Cross-Site Scripting (XSS). O parâmetro GET `layer` é refletido em uma mensagem de erro sem a codificação HTML adequada. Isso permite que um atacante não autenticado execute código HTML ou JavaScript arbitrário no navegador de uma vítima através do endpoint ''/api/v1/layer''. O parâmetro vulnerável é `layer`. **Recomendações** MapTiler Tileserver-php versão 2.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MapTiler Tileserver-php versão 2.0 **Descrição** O MapTiler Tileserver-php versão 2.0 contém uma vulnerabilidade de directory traversal. A função `renderTile` dentro do arquivo `tileserver.php` é responsável por entregar tiles armazenados como arquivos no servidor via requisição web. A construção do caminho do arquivo permite a inserção de "../", possibilitando a leitura de qualquer arquivo no servidor web. Os parâmetros GET afetados são `TileMatrix`, `TileRow`, `TileCol` e `Format`. **Recomendações** Versões anteriores à 2.0 não são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.