Michael Burkey

**Nome do software vulnerável e versões afetadas** Versões do LimeSurvey anteriores à 4.1.12+200324 **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de caminho. Ela afeta o arquivo application/controllers/admin/LimeSurveyFileManager.php. **Recomendações** Para versões anteriores à 4.1.12+200324, atualize para a versão 4.1.12+200324 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do LimeSurvey anteriores à 4.1.12+200324 **Descrição** O problema diz respeito a um ataque XSS armazenado em determinados arquivos, especificamente em application/views/admin/surveysgroups/surveySettings.php e application/models/SurveysGroups.php, que estão relacionados aos grupos de pesquisas. **Recomendações** Para versões anteriores à 4.1.12+200324, atualize para a versão 4.1.12+200324 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do rConfig anteriores à 3.9.5 Descrição: O problema está relacionado à falta de neutralização adequada de elementos especiais usados em comandos do sistema operacional. Isso pode ser explorado por um invasor remoto usando uma solicitação GET especialmente criada, permitindo que ele execute comandos arbitrários no sistema alvo. O parâmetro `nodeId` em `lib/crud/search.crud.php` é passado diretamente para a função `exec` sem ser escapado, levando à injeção de comando. Recomendações: Para versões anteriores à 3.9.5, atualize para a versão 3.9.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `lib/crud/search.crud.php` para minimizar o risco de exploração. Evite usar o parâmetro `nodeId` no endpoint da API afetado até que o problema seja resolvido.