N0Tra4E

**Nome do Software Vulnerável e Versões Afetadas** Grav API Plugin versões anteriores a 1.0.0-beta.15 **Descrição** Uma referência direta a objeto insegura e uma falha de lógica na função `update()` do `UsersController` permitem que qualquer usuário autenticado com permissões básicas de `api.access` modifique sua própria configuração de permissões. Ao enviar uma requisição `PATCH` para o endpoint de atualização de usuário, um invasor pode sobrescrever a variável `access` para conceder a si mesmo privilégios de Super Administrador (`admin.super` e `api.super`). Esta escalada de privilégios vertical pode levar ao comprometimento total do sistema e a uma potencial execução remota de código (RCE), permitindo que o invasor modifique configurações ou faça o upload de plugins maliciosos. **Recomendações** Atualize o Grav API Plugin para a versão 1.0.0-beta.15.