Niubl

**Nome do software vulnerável e versões afetadas** Versões do Redmine anteriores à 4.0.9 Versões do Redmine 4.1.x anteriores à 4.1.3 Versões do Redmine 4.2.x anteriores à 4.2.1 **Descrição** A vulnerabilidade permite que invasores contornem a exigência de permissão `add issue notes` ao explorar o manipulador de e-mails recebidos. Isso pode permitir que um invasor remoto comprometa a integridade dos dados. **Recomendações** Para versões do Redmine anteriores à 4.0.9, atualize para a versão 4.0.9 ou posterior. Para versões do Redmine 4.1.x anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior. Para versões do Redmine 4.2.x anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Redmine anteriores à 4.0.9 Versões do Redmine 4.1.x anteriores à 4.1.3 Versões do Redmine 4.2.x anteriores à 4.2.1 **Descrição** O problema está relacionado à validação insuficiente de entradas na integração do repositório Git do Redmine, permitindo que invasores remotos acessem dados confidenciais. Isso pode permitir que usuários do Redmine leiam arquivos locais arbitrários acessíveis pelo processo do servidor de aplicativos. **Recomendações** Para versões do Redmine anteriores à 4.0.9, atualize para a versão 4.0.9 ou posterior. Para versões do Redmine 4.1.x anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior. Para versões do Redmine 4.2.x anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Redmine anteriores à 4.0.9 Versões do Redmine 4.1.x anteriores à 4.1.3 Versões do Redmine 4.2.x anteriores à 4.2.1 **Descrição** O problema está relacionado à burla das extensões de nome de arquivo permitidas para anexos enviados, o que pode permitir que um invasor remoto comprometa a integridade dos dados. **Recomendações** Para versões do Redmine anteriores à 4.0.9, atualize para a versão 4.0.9 ou posterior. Para versões do Redmine 4.1.x anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior. Para versões do Redmine 4.2.x anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Redmine 4.0.0 a 4.0.8 Versões do Redmine 4.1.0 a 4.1.2 **Descrição** O problema está relacionado a uma diferença de temporização nas operações de comparação de strings dentro do SysController e do MailHandlerController, permitindo que um invasor descubra os valores das chaves de autenticação internas. Isso pode ser explorado por um invasor remoto para acessar dados confidenciais. **Recomendações** Para as versões 4.0.0 a 4.0.8 do Redmine, atualize para a versão 4.0.9 ou posterior. Para as versões 4.1.0 a 4.1.2 do Redmine, atualize para a versão 4.1.3 ou posterior. Como solução temporária, considere restringir o acesso ao SysController e ao MailHandlerController para minimizar o risco de exploração.