Muhammad Hendra

**Nome do Software Vulnerável e Versões Afetadas** Public Knowledge Project (PKP) OJS versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OMP versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OPS versões anteriores a 3.3.0.21 Public Knowledge Project (PKP) OJS versões 3.4.x anteriores a 3.4.0.8 Public Knowledge Project (PKP) OMP versões 3.4.x anteriores a 3.4.0.8 Public Knowledge Project (PKP) OPS versões 3.4.x anteriores a 3.4.0.8 **Descrição** A vulnerabilidade permite um ataque XXE por parte da função de Editor do Journal, possibilitando a criação de uma nova função como superadministrador no contexto do journal e a inserção de um plugin de backdoor. Isso é realizado através do upload de um documento XML manipulado como um Plugin XML de Usuário. **Recomendações** Para as versões do Public Knowledge Project (PKP) OJS, OMP e OPS anteriores a 3.3.0.21, atualize para a versão 3.3.0.21 ou superior. Para as versões 3.4.x do Public Knowledge Project (PKP) OJS, OMP e OPS anteriores a 3.4.0.8, atualize para a versão 3.4.0.8 ou superior. Como medida paliativa temporária, considere restringir o upload de documentos XML como Plugins XML de Usuário para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Plataforma PKP do Public Knowledge Project (OJS/OMP/OPS) em versões anteriores à 3.3.0.16 Descrição: A vulnerabilidade permite que um invasor execute código arbitrário e obtenha privilégios elevados por meio de um script malicioso. Trata-se de uma vulnerabilidade de Cross Site Scripting. Recomendações: Para versões anteriores à 3.3.0.16, atualize para a versão 3.3.0.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais da plataforma para minimizar o risco de exploração.