Ozzieisaacs

**Nome do software vulnerável e versões afetadas** Versões do calibre-web anteriores à 0.6.17 **Descrição** O problema está relacionado a uma falha de falsificação de solicitação do lado do servidor (SSRF) no repositório GitHub janeczku/calibre-web. Isso se deve a uma correção incompleta, que faz com que a lista de bloqueio não verifique `0.0.0.0`, permitindo que uma carga útil de `0.0.0.0` seja resolvida como `localhost`. **Recomendações** Para versões anteriores à 0.6.17, atualize para a versão 0.6.17 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint `localhost` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do calibreweb anteriores à 0.6.16 **Descrição** O problema está relacionado a Cross-site Scripting (XSS) - Refletido, o que significa que um invasor pode injetar scripts maliciosos em um site, o que pode permitir que ele roube dados do usuário ou assuma o controle da sessão do usuário. Esse tipo de ataque ocorre quando a entrada do usuário não é devidamente validada ou sanitizada, e um invasor pode refletir sua entrada de volta para o usuário, executando o script malicioso. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 0.6.16, atualize para a versão 0.6.16 ou posterior para resolver o problema. Como solução temporária, considere implementar a validação e sanitização de todas as entradas do usuário para minimizar o risco de exploração. Restrinja o acesso a áreas sensíveis do aplicativo para minimizar o risco de ataques XSS até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Calibre-web, versões 0.6.0 a 0.6.13 **Descrição** A vulnerabilidade permite que um invasor crie uma nova função de usuário com privilégios de administrador e credenciais controladas por ele, induzindo um usuário autenticado a clicar em um link, o que pode resultar no controle da aplicação. Isso é feito por meio de uma falsificação de solicitação entre sites (CSRF). **Recomendações** Para as versões 0.6.0 a 0.6.13 do Calibre-web, como solução temporária, considere restringir o acesso à funcionalidade de criação de funções de usuário até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.