Offset

**Nome do Software Vulnerável e Versões Afetadas** Hono versões anteriores a 4.12.21 **Description** O middleware `ip-restriction` (hono/ip-restriction) compara endereços IP recebidos com regras de negação e permissão configuradas usando igualdade de string após normalização parcial. Representações IPv6 não canônicas de um endereço já listado em uma regra estática — como formas compactadas, formas de zero explícito ou endereços IPv4 mapeados em notação hexadecimal — não correspondem à entrada de regra normalizada, fazendo com que a regra seja silenciosamente ignorada. **Recommendations** Atualize para a versão 4.12.21.

**Nome do Software Vulnerável e Versões Afetadas** Hono versões anteriores a 4.12.21 **Descrição** A função `serialize()` em hono/cookie não valida as opções `sameSite` e `priority` contra caracteres que podem corromper a sintaxe do cabeçalho Set-Cookie, como ponto e vírgula, retornos de carro e alimetações de linha. Embora a validação seja aplicada às opções de domínio e caminho, a ausência de verificações semelhantes para essas opções específicas permite que uma aplicação que passe entradas controladas pelo usuário produza um cabeçalho de resposta Set-Cookie contendo atributos adicionais escolhidos por um invasor. **Recomendações** Atualizar para a versão 4.12.21.

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões anteriores a 1.19.4 **Description** Um usuário autenticado pode realizar a leitura arbitrária de qualquer arquivo acessível pelo processo de backend do Arcane. Isso ocorre porque a função `ProjectService.CreateProject` grava o conteúdo do compose fornecido pelo invasor no disco sem validar os caminhos de inclusão. Subsequentemente, a função `ProjectService.GetProjectFileContent` retorna o conteúdo de qualquer diretiva de inclusão do Docker Compose antes que a validação de path-traversal seja executada. Ao criar um projeto com um arquivo compose contendo uma diretiva de inclusão maliciosa, como `include: ['../../../../etc/passwd']`, um invasor pode ler arquivos sensíveis através da API de arquivos do projeto. Detalhes técnicos incluem: - Endpoints de API: `POST /api/environments/{id}/projects` e `GET /api/environments/{id}/projects/{projectId}/file`. - Funções Vulneráveis: `ProjectService.CreateProject()`, `ProjectService.GetProjectFileContent()` e `ParseIncludes()`. Este problema pode levar à exposição do banco de dados SQLite `arcane.db`, que contém hashes de senhas e chaves de API de todos os usuários. Isso permite a escalada de privilégios para a função de administrador e, potencialmente, a Execução Remota de Código (RCE) no host através do plano de controle do Docker. **Recommendations** Atualize para a versão 1.19.4.

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões anteriores a 1.19.2 **Descrição** O endpoint "PUT /api/environments/{id}/templates/variables", utilizado para gravar o arquivo `.env.global` de todo o sistema para substituição de variáveis em arquivos compose de projetos, carece de uma verificação de autorização de administrador. Qualquer usuário autenticado que não seja administrador pode usar seu token bearer ou chave de API para sobrescrever variáveis de ambiente globais mescladas em cada implantação de projeto. Ao manipular variáveis como `REGISTRY`, `IMAGE`, `DATABASE URL` ou `SECRET KEY`, um invasor pode redirecionar a extração de imagens para registros maliciosos, levando à execução remota de código (RCE) de cadeia de suprimentos no host Docker, exfiltrar credenciais de banco de dados ou interromper todos os projetos. Além disso, a função `UpdateGlobalVariables()` não sanitiza adequadamente quebras de linha em chaves, permitindo a injeção arbitrária de chaves no arquivo `.env.global`. **Recomendações** Atualize para a versão 1.19.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "PUT /api/environments/{id}/templates/variables" apenas a administradores autorizados.

**Nome do Software Vulnerável e Versões Afetadas** pyLoad versões anteriores a 0.5.0b3.dev100 **Description** Um invasor autenticado pode realizar Server-Side Request Forgery (SSRF) ao fornecer uma URL para o endpoint de API 'parse urls' que aponte para um servidor sob seu controle. Este servidor pode responder com um redirecionamento 302 para um endereço IP interno ou privado, ignorando a verificação `is global host()` realizada na URL inicial. Isso ocorre porque a classe `HTTPRequest`, utilizada pela função `get url()`, possui a variável `allow private ip` definida como `True` por padrão, o que faz com que a função ` pre request callback()` ignore a validação de IP privado durante os redirecionamentos. Este problema pode ser explorado para acessar serviços internos em redes privadas, serviços de localhost ou endpoints de metadados de nuvem (como AWS IMDSv1), potencialmente expondo credenciais IAM, metadados de instância e segredos. **Recommendations** Atualize para a versão 0.5.0b3.dev100 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.2 **Description** O endpoint de desatribuição de funções da API pública "/api/public/v1/roles/unassign" atualiza os documentos de usuário no CouchDB, mas não invalida as entradas correspondentes no cache de usuário do Redis. Como o middleware de autenticação resolve a identidade e as permissões do usuário a partir deste cache, que possui um Tempo de Vida (TTL) de 3600 segundos, usuários cujas funções de administrador, construtor ou nível de aplicativo sejam revogadas via API pública mantêm esses privilégios por até uma hora. Isso ocorre devido a uma inconsistência onde a função `bulkUpdate()` grava diretamente no banco de dados sem disparar a invalidação de cache necessária, diferentemente do caminho utilizado pela interface de administração. **Recommendations** Atualize para a versão 3.38.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/api/public/v1/roles/unassign" até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões 1.18.1 e anteriores **Descrição** Existe um problema onde o endpoint "GET /environments/{id}/volumes/{volumeName}/browse" aceita um parâmetro de consulta `path` que é passado para um comando de shell (`sh -c "find … | while …"`) dentro de um container auxiliar. O sanitizador de caminho bloqueia a travessia de diretório usando `../`, mas não remove metacaracteres do Bourne-shell, como `$()` ou crases. Além disso, o uso de `strconv.Quote` escapa apenas metacaracteres de strings do Go, e não sequências de substituição de shell. Isso permite que qualquer usuário autenticado com acesso a um volume navegável execute comandos arbitrários dentro do container auxiliar isolado. A saída desses comandos é refletida para o usuário no corpo da resposta de erro HTTP 500. Embora o container auxiliar esteja com a rede desativada e não possua modo privilegiado ou montagens de socket do Docker, essa falha permite que invasores ignorem restrições da API, como a censura de alvos de links simbólicos e limites de tamanho de arquivo, além de sondar a imagem auxiliar e o volume. Além disso, o mesmo sanitizador insuficiente no endpoint "DELETE /environments/{id}/volumes/{volumeName}/browse" permite que um usuário autenticado exclua recursivamente todo o conteúdo do volume ao fornecer `path=.` como entrada. **Recomendações** Para as versões 1.18.1 e anteriores, atualize o software para uma versão onde o sanitizador de caminho seja reforçado para remover metacaracteres de shell e evitar a substituição de comandos. Como medida paliativa temporária, restrinja o acesso aos endpoints "GET /environments/{id}/volumes/{volumeName}/browse" e "DELETE /environments/{id}/volumes/{volumeName}/browse" apenas a administradores confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões anteriores a 1.19.0 **Description** O endpoint não autenticado 'GET /api/app-images/logo' reflete um parâmetro de consulta `color` fornecido pelo usuário no corpo de um documento SVG usando `strings.ReplaceAll` sem a devida sanitização. Essa substituição ocorre dentro de um elemento `<style>` do `logo.svg` incorporado, permitindo que um invasor feche o bloco de estilo e injete conteúdo `<script>` executável. Como a resposta é servida como `image/svg+xml` e carece de cabeçalhos de Content-Security-Policy ou `X-Content-Type-Options`, um invasor pode induzir um administrador autenticado a visitar uma URL maliciosa. Isso executa JavaScript controlado pelo invasor na origem da aplicação, utilizando o cookie JWT HttpOnly da vítima para comprometer totalmente a conta de administrador. Isso pode levar à criação de contas de administrador não autorizadas, acesso a segredos e controle sobre hosts Docker conectados. **Recommendations** Atualize para a versão 1.19.0. Como mitigação temporária, restrinja o acesso ao endpoint 'GET /api/app-images/logo'. Implemente o cabeçalho `X-Content-Type-Options: nosniff` em todas as respostas. Aplique uma `Content-Security-Policy` (CSP) nas respostas de imagens SVG, como `default-src 'none'; style-src 'unsafe-inline'; img-src 'self' data:`.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.1 **Descrição** Existe um problema no endpoint "POST /api/global/users/onboard", que é protegido pelo middleware `workspaceBuilderOrAdmin`. Isso permite que usuários com permissões de construtor (builder) acessem o endpoint. Em instâncias auto-hospedadas onde o e-mail SMTP não está configurado, o endpoint ignora o fluxo de convite restrito ao administrador e utiliza a função `bulkCreate` para criar usuários diretamente. Como o corpo da requisição aceita atribuições arbitrárias de funções `admin` e `builder`, um usuário de nível builder pode criar uma nova conta de administrador global. O sistema então retorna a senha gerada na resposta, resultando em escalonamento total de privilégios e comprometimento da plataforma. **Recomendações** Atualize para a versão 3.38.1. Como medida paliativa temporária, restrinja o acesso ao endpoint "POST /api/global/users/onboard" apenas a administradores autorizados.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.1 **Description** O endpoint de gatilho de ação de linha "POST /api/tables/:sourceId/actions/:actionId/trigger" falha ao validar se o `rowId` fornecido pelo usuário está dentro do escopo dos filtros de linha da visualização. Isso permite que um usuário com acesso a uma visualização filtrada acione ações de linha em qualquer linha da tabela subjacente, incluindo aquelas explicitamente excluídas pelos filtros de segurança. Isso ocorre porque o sistema descarta o contexto da visualização e busca a linha diretamente na tabela usando a função `sdk.rows.find()`, ignorando a aplicação dos filtros de consulta da visualização. Isso pode levar à modificação não autorizada de dados, divulgação de informações ou a execução de ações não autorizadas por meio de automações. **Recommendations** Atualize para a versão 3.38.1. Como medida paliativa temporária, restrinja o acesso ao endpoint "POST /api/tables/:sourceId/actions/:actionId/trigger" apenas a usuários altamente confiáveis até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões anteriores a 1.19.0 **Descrição** O Arcane expõe inadequadamente endpoints de gerenciamento de repositórios Git para qualquer usuário autenticado, permitindo que contas com baixos privilégios modifiquem configurações de repositórios, exfiltrem credenciais Git armazenadas, acessem conteúdos de repositórios privados e adulterem implantações de GitOps. O problema decorre do fato de a API REST baseada em huma não chamar a função auxiliar `checkAdmin(ctx)` em oito de nove endpoints sob '/api/customize/git-repositories' e '/api/git-repositories/sync'. Embora o middleware de autenticação verifique se o usuário está logado, ele não impõe a função de administrador para esses manipuladores específicos. Um invasor com a função padrão `user` pode usar a função `UpdateRepository` para alterar a URL de um repositório para um host sob seu controle, preservando as credenciais criptografadas. Ao chamar subsequentemente os endpoints '/test', '/branches' ou '/files', o sistema descriptografa o Token de Acesso Pessoal (PAT) ou a chave SSH legítima e a transmite para o host do invasor via autenticação HTTP Basic ou SSH. Isso permite a exfiltração de credenciais em texto claro, potencial comprometimento da cadeia de suprimentos ao trocar URLs de repositórios por forks maliciosos e negação de serviço ao excluir configurações de produção. **Recomendações** Atualize para a versão 1.19.0. Como medida paliativa temporária, restrinja o acesso aos endpoints '/api/customize/git-repositories' e '/api/git-repositories/sync' a intervalos de rede confiáveis ou desative-os caso não sejam necessários.

**Nome do Software Vulnerável e Versões Afetadas** AVideo versões 29.0 e anteriores **Descrição** Um problema de falsificação de solicitação cross-site (CSRF) existe na funcionalidade de alternância de 2FA. O endpoint "plugin/LoginControl/set.json.php" aceita solicitações POST com os parâmetros `type=set2FA` e `value=false` para desativar a autenticação de dois fatores de um usuário autenticado na sessão através da função `LoginControl::setUser2FA()`. O endpoint não implementa verificações de segurança necessárias, como a chamada `forbidIfIsUntrustedRequest()`, a verificação `isTokenValid()`, a aplicação de X-CSRF-Token/SameSite ou uma etapa de reautenticação. Consequentemente, um invasor pode hospedar uma página maliciosa de origem cruzada que, ao ser visitada por um usuário logado, envia automaticamente uma solicitação POST para desativar o 2FA da vítima, tornando a conta suscetível a ataques de preenchimento de credenciais (credential stuffing) ou phishing. **Recomendações** Atualize para uma versão onde o endpoint "plugin/LoginControl/set.json.php" implemente o controle `forbidIfIsUntrustedRequest()` e exija reautenticação (como um código 2FA ou solicitação de senha) ao desativar o 2FA. Como medida paliativa temporária, restrinja o acesso ao endpoint "plugin/LoginControl/set.json.php" ou desative o plugin `LoginControl` até que uma correção seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** WWBN AVideo versões 29.0 e anteriores **Descrição** Uma injeção de metacaracteres de shell existe no ramo de notificação YPTSocket dentro do arquivo `plugin/Live/on publish.php`. A aplicação constrói uma linha de comando para a função `execAsync()` usando concatenação de strings e aspas simples literais em vez de utilizar a função `escapeshellarg()`. Isso permite que um invasor feche o token entre aspas inserindo uma aspa simples nas variáveis `$users id`, `$m3u8` ou `$obj->liveTransmitionHistory id`, possibilitando a execução de comandos arbitrários do sistema operacional com os privilégios do usuário de execução do servidor web. O problema é acessível através de uma requisição HTTP POST direta para o endpoint "/plugin/Live/on publish.php". **Recomendações** Atualize para uma versão onde a função `escapeshellarg()` seja aplicada a todas as variáveis interpoladas na string de comando em `plugin/Live/on publish.php`. Como mitigação temporária, restrinja o acesso ao endpoint "/plugin/Live/on publish.php" para permitir apenas requisições de 127.0.0.1 e IPs de servidores RTMP configurados via `.htaccess` ou regras de localização do nginx.

**Nome do Software Vulnerável e Versões Afetadas** AVideo versões 29.0 e anteriores **Descrição** Um problema de cross-site scripting (XSS) armazenado existe na visualização "estilo YouTube" do plugin Live. A aplicação renderiza a chave de transmissão ao vivo em um atributo de classe HTML usando um echo bruto, sem a devida sanitização. Um usuário com a permissão `canStream` pode persistir uma chave maliciosa contendo um manipulador de eventos através do endpoint 'plugin/Live/saveLive.php'. Quando qualquer visitante, incluindo usuários anônimos ou administradores, abre a página ao vivo da transmissão afetada, o JavaScript do invasor é executado na origem da plataforma. Isso pode permitir que o invasor roube cookies de sessão, leia o conteúdo do DOM ou realize ações não autorizadas caso a vítima seja um administrador. **Recomendações** Atualize o AVideo para uma versão posterior à 29.0. Como mitigação temporária, restrinja a permissão `canStream` apenas a usuários confiáveis para evitar a persistência de chaves de transmissão maliciosas. Restrinja o acesso ao endpoint 'plugin/Live/saveLive.php' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** phpMyFAQ versões anteriores a 4.1.2 **Descrição** Um problema de falta de autorização existe no endpoint "DELETE /admin/api/content/tags/{tagId}". Isso permite que qualquer usuário autenticado, incluindo usuários comuns do frontend, exclua tags arbitrárias ao enviar uma requisição DELETE com um cookie de sessão válido, o que pode resultar em perda permanente de dados e interrupção da organização do FAQ. A variável vulnerável é `{tagId}`. **Recomendações** Atualize para a versão 4.1.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Flowise versões anteriores a 3.1.2 **Descrição** Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização de avaliações. O servidor utiliza `Object.assign()` para copiar o corpo da requisição para a entidade Evaluation sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis como `workspaceId`, `id`, `createdDate` e `updatedDate`. Um usuário autenticado pode explorar isso enviando uma requisição para o endpoint `PUT /api/v1/evaluations/<id>` com a variável `workspaceId` modificada, movendo efetivamente uma avaliação para um workspace diferente. Isso resulta em uma violação de limite entre workspaces e Referência Direta Insegura a Objeto (IDOR), onde os dados podem ser expostos a membros de outro workspace. **Recomendações** Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint `PUT /api/v1/evaluations/<id>` para minimizar o risco de transferências não autorizadas entre workspaces.

**Nome do Software Vulnerável e Versões Afetadas** Flowise versões anteriores a 3.1.2 **Description** Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização de CustomTemplate. A aplicação utiliza `Object.assign()` para copiar o corpo da requisição para uma entidade `CustomTemplate` sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis como `workspaceId` e `id`. Um invasor autenticado pode explorar isso enviando uma requisição para o endpoint `PUT /api/v1/customtemplates/<id>` com a variável `workspaceId` modificada, movendo efetivamente um template para um workspace diferente. Isso resulta em um takeover de template entre workspaces e Insecure Direct Object Reference (IDOR), onde o invasor pode transferir a propriedade de um template para outro workspace cujo UUID seja conhecido. **Recommendations** Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint `PUT /api/v1/customtemplates/<id>` ou monitore requisições que contenham as variáveis `workspaceId` ou `id` no corpo da requisição.

**Nome do Software Vulnerável e Versões Afetadas** Flowise versões anteriores a 3.1.2 **Descrição** Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização de conjuntos de dados (datasets). A aplicação utiliza `Object.assign()` para copiar o corpo da requisição para uma entidade `Dataset` sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis. Especificamente, um usuário autenticado pode manipular as variáveis `workspaceId` e `id` através do endpoint `PUT /api/v1/datasets/<id>`. Isso permite que um invasor mova um conjunto de dados de um workspace para outro ao especificar um `workspaceId` diferente, resultando em a apropriação de datasets entre workspaces e Referência Direta Insegura a Objeto (IDOR). Isso ocorre porque a camada de persistência salva os valores controlados pelo cliente diretamente no banco de dados, quebrando o isolamento entre workspaces. **Recomendações** Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint `PUT /api/v1/datasets/<id>` ou monitore requisições que contenham os parâmetros `workspaceId` ou `id` no corpo da requisição.

**Nome do Software Vulnerável e Versões Afetadas** Flowise versões anteriores a 3.1.2 **Description** Um problema de atribuição em massa (mass assignment) existe nos processos de criação e atualização do DatasetRow. A aplicação utiliza `Object.assign()` para copiar o corpo da requisição para a entidade `DatasetRow` sem uma lista de permissões (allowlist) de campos explícita, permitindo que um cliente sobrescreva campos sensíveis como `workspaceId` e `id`. Isso pode levar à tomada de controle de linhas entre workspaces e a uma Referência Direta a Objeto Insegura (IDOR), onde um usuário autenticado pode mover uma linha de conjunto de dados para outro workspace especificando um `workspaceId` diferente no corpo da requisição. Isso expõe o conteúdo da linha ao workspace de destino e remove o acesso do workspace original. O problema está localizado no arquivo `packages/server/src/services/dataset/index.ts` e afeta o endpoint `PUT /api/v1/datasetrows/<id>`. **Recommendations** Atualize para a versão 3.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint `PUT /api/v1/datasetrows/<id>` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Devise versões 5.0.3 e anteriores **Descrição** Quando o módulo `Timeoutable` está habilitado, o método `FailureApp#redirect url` retorna o `request.referrer` (o cabeçalho HTTP Referer) sem validação para qualquer requisição que não seja GET e que resulte em tempo limite de sessão. Como o cabeçalho HTTP Referer é controlável pelo atacante, um invasor que hospede uma página com um formulário de origem cruzada com envio automático pode fazer com que uma vítima com sessão expirada seja redirecionada para uma URL externa arbitrária. Isso ocorre porque o caminho de redirecionamento de tempo limite não-GET não é protegido, ao contrário do caminho de tempo limite GET, que usa o `attempted path` do lado do servidor, e do mecanismo `store location for`, que utiliza `extract path from location` para remover hosts externos. Isso pode ser usado para phishing ou entrega de malware, redirecionando usuários de um domínio confiável para um site controlado pelo atacante, ignorando os avisos do navegador. A proteção nativa contra redirecionamento aberto do Rails não mitiga este problema, pois o `Devise::FailureApp` é um aplicativo `ActionController::Metal` com configuração de redirecionamento isolada. **Recomendações** Atualizar para a versão 5.0.4.