Naiagoesawoo

**Nome do software vulnerável e versões afetadas** Pluck-CMS Pluck versão 4.7.15 **Descrição** A vulnerabilidade permite que um invasor mantenha acesso não autorizado à plataforma devido a uma vulnerabilidade de fixação de sessão no arquivo login.php. Isso ocorre porque as sessões anteriores não são invalidadas após uma alteração de senha, permitindo que o acesso seja mantido mesmo depois que um administrador redefinir sua senha. **Recomendações** Para o Pluck-CMS Pluck versão 4.7.15, considere desativar a funcionalidade de login no arquivo login.php até que um patch esteja disponível para mitigar o risco de fixação de sessão. Restrinja o acesso ao arquivo login.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pluck-CMS Pluck versão 4.7.15 **Descrição** A vulnerabilidade permite que um invasor faça o upload de arquivos ZIP especialmente criados, resultando em traversal de diretório e, potencialmente, na execução de código arbitrário. **Recomendações** Para o Pluck-CMS Pluck versão 4.7.15, considere restringir o upload de arquivos zip ou validar o conteúdo dos arquivos zip enviados para impedir a traversal de diretórios e a execução de código arbitrário. Como solução temporária, considere desativar o recurso de upload de arquivos zip até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Pluck versão 4.7.15 **Descrição** Existe uma falha na validação do certificado SSL no arquivo update applet.php, o que pode levar a ataques do tipo “man-in-the-middle”. **Recomendações** Para a versão 4.7.15 do Pluck, considere desativar o arquivo update applet.php até que uma correção esteja disponível para evitar possíveis ataques man-in-the-middle. Restrinja o acesso a este arquivo para minimizar o risco de exploração.