Orilcious

**Nome do software vulnerável e versões afetadas** Versões do Kanboard anteriores à 1.2.37 **Descrição** O problema está relacionado ao Kanboard, um software de gerenciamento de projetos baseado na metodologia Kanban. Trata-se de uma vulnerabilidade na função `addUser()` contida no arquivo `ProjectPermissionController.php`. Especificamente, a permissão do usuário para adicionar usuários a um projeto é verificada apenas com base no parâmetro de URL `project id`. Se o usuário estiver autorizado para esse projeto, a solicitação é processada sem verificar novamente a permissão para o parâmetro `project id` no corpo da solicitação POST. Isso permite que um invasor com privilégios de “Gerente de Projeto” em um único projeto possa potencialmente assumir o controle de qualquer outro projeto. **Recomendações** Para versões anteriores à 1.2.37, atualize para a versão 1.2.37 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à função `addUser()` no arquivo `ProjectPermissionController.php` até que a atualização seja aplicada. Além disso, certifique-se de que os privilégios dos gerentes de projeto sejam cuidadosamente gerenciados para minimizar o risco de exploração.