Misakikata

**Nome do software vulnerável e versões afetadas** Versões do Plone até a 5.2.4 **Descrição** A vulnerabilidade permite que administradores autenticados remotamente realizem ataques de falsificação de solicitação do lado do servidor (SSRF) por meio de uma URL de evento ical. Isso lhes permite ler uma linha de um arquivo. **Recomendações** Para versões até a 5.2.4, atualize para uma versão que contenha uma correção para este problema, a fim de prevenir ataques SSRF. Como solução temporária, considere restringir o acesso à URL do evento ical para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Plone anteriores à 5.2.5 **Descrição** A vulnerabilidade permite a falsificação de solicitações do lado do servidor (SSRF) por meio do analisador lxml. Isso afeta vários componentes, incluindo temas Diazo, esquemas TTW do Dexterity e modeladores em plone.app.theming, plone.app.dexterity e plone.supermodel. **Recomendações** Para versões do Plone anteriores à 5.2.5, atualize para a versão 5.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao analisador lxml até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Plone anteriores à 5.2.3 **Descrição** A vulnerabilidade permite ataques XXE por meio de um recurso explicitamente disponível para a função de Gerente. **Recomendações** Para versões anteriores à 5.2.3, atualize para a versão 5.2.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Plone anteriores à 5.2.3 **Descrição** A vulnerabilidade permite ataques SSRF por meio do recurso de rastreamento de erros, disponível apenas para a função de Gerente. **Recomendações** Para versões anteriores à 5.2.3, atualize para a versão 5.2.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Plone anteriores à 5.2.3 **Descrição** A vulnerabilidade permite ataques XXE por meio de um recurso protegido por uma permissão não aplicada de `plone.schemaeditor.ManageSchemata`, que está disponível apenas para a função de Gerente. **Recomendações** Para versões anteriores à 5.2.3, atualize para a versão 5.2.3 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Tendenci versão 12.0.10 **Descrição** O problema diz respeito à deserialização irrestrita no arquivo `staff.py`, localizado em `apps/helpdesk/views/`. Isso poderia potencialmente permitir atividades maliciosas devido à falta de restrições sobre o que pode ser deserializado. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 12.0.10 do Tendenci, considere restringir ou desativar a funcionalidade de deserialização no arquivo `staff.py` até que uma correção adequada esteja disponível. Como solução alternativa temporária, limitar o acesso ao módulo `apps/helpdesk/views/staff.py` pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.