P-

**Nome do Software Vulnerável e Versões Afetadas** Quarkus versão 3.32.4 **Descrição** Existe uma falha de bypass de autorização onde pontos e vírgulas usados como parâmetros de matriz em requisições HTTP podem burlar restrições de segurança, potencialmente concedendo acesso não autorizado a recursos protegidos. Usuários não autenticados ou com privilégios reduzidos podem ignorar políticas de autorização baseadas em caminhos HTTP ao anexar um ponto e vírgula (`;`) e texto arbitrário à URL da requisição. Isso ocorre devido a uma inconsistência na normalização do caminho: a camada de segurança realiza verificações de autorização no caminho da URL bruta, enquanto a camada de roteamento do RESTEasy Reactive remove os parâmetros de matriz antes de corresponder aos endpoints. Consequentemente, uma requisição para um endpoint como "/api/admin;anything" pode burlar as políticas que protegem "/api/admin", mas ainda assim ser roteada para esse endpoint protegido. **Recomendações** Atualize a versão 3.32.4 do Quarkus para uma versão corrigida.

Name of the Vulnerable Software and Affected Versions Frappe versões anteriores a 16.14.0 e 15.104.0 Description Frappe, um framework de aplicação web full-stack, permite acesso irrestrito ao Doctype através de uma exploração da API. Recommendations Atualize para a versão 16.14.0 ou posterior. Atualize para a versão 15.104.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Sentry versions prior to 26.1.0 **Description** Sentry is a developer-first error tracking and performance monitoring tool. Versions prior to 26.1.0 have a cross-organization Insecure Direct Object Reference (IDOR) issue in the `GroupEventJsonView` endpoint. An Insecure Direct Object Reference occurs when an application uses user-supplied input to directly access objects, potentially allowing unauthorized access to data. **Recommendations** Update to version 26.1.0 or later.

**Name of the Vulnerable Software and Affected Versions** Sylius versions prior to 2.0.16 Sylius versions prior to 2.1.12 Sylius versions prior to 2.2.3 **Description** Sylius, an Open Source eCommerce Framework on Symfony, contains an authenticated Insecure Direct Object Reference (IDOR) issue in several shop LiveComponents. This is due to unvalidated resource IDs accepted via the #[LiveArg] parameters. Actions accepting resource IDs via #[LiveArg] and loading them with ->find() without ownership validation are affected. Specifically, the Checkout address FormComponent’s `addressFieldUpdated` action accepts an `addressId` via #[LiveArg], potentially exposing another user's personal information including first name, last name, company, phone number, street, city, postcode, and country. The Cart WidgetComponent’s `refreshCart` action and Cart SummaryComponent’s `refreshCart` action both accept a `cartId` via #[LiveArg], allowing direct access to order data such as order total and item count, subtotal, discount, shipping cost, taxes, and order total. Because sylius order contains both active carts and completed orders in the same ID space, the cart IDOR can expose data from all orders. **Recommendations** Update Sylius to version 2.0.16 or later. Update Sylius to version 2.1.12 or later. Update Sylius to version 2.2.3 or later.

**Name of the Vulnerable Software and Affected Versions** Rocket.Chat versions prior to 7.10.8 Rocket.Chat versions prior to 7.11.5 Rocket.Chat versions prior to 7.12.5 Rocket.Chat versions prior to 7.13.4 Rocket.Chat versions prior to 8.0.2 Rocket.Chat versions prior to 8.1.1 Rocket.Chat versions prior to 8.2.0 **Description** Rocket.Chat is a communications platform. A NoSQL injection issue exists in the account service within the ddp-streamer micro service. This allows unauthenticated attackers to manipulate MongoDB queries during authentication. The issue is present in the username-based login flow where user-provided input is directly incorporated into a MongoDB query selector without proper validation. An attacker can inject MongoDB operator expressions, such as `{ $regex: '.*' }`, in place of a username, causing the database query to match unintended user records. The vulnerability affects the ddp-streamer service. **Recommendations** Update Rocket.Chat to version 7.10.8 or later. Update Rocket.Chat to version 7.11.5 or later. Update Rocket.Chat to version 7.12.5 or later. Update Rocket.Chat to version 7.13.4 or later. Update Rocket.Chat to version 8.0.2 or later. Update Rocket.Chat to version 8.1.1 or later. Update Rocket.Chat to version 8.2.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rocket.Chat anteriores a 7.8.6 Versões do Rocket.Chat anteriores a 7.9.8 Versões do Rocket.Chat anteriores a 7.10.7 Versões do Rocket.Chat anteriores a 7.11.4 Versões do Rocket.Chat anteriores a 7.12.4 Versões do Rocket.Chat anteriores a 7.13.3 Versões do Rocket.Chat anteriores a 8.0.0 **Descrição** O Rocket.Chat é uma plataforma de comunicação. Existe um problema crítico no serviço de conta dentro do microsserviço ddp-streamer que permite a um atacante autenticar-se como qualquer usuário com uma senha definida, usando uma senha arbitrária. Isso se deve à ausência da palavra-chave 'await' ao validar senhas de forma assíncrona, resultando em um objeto Promise sendo incorretamente avaliado como uma autenticação bem-sucedida. Isso poderia levar à tomada de conta se um nome de usuário for conhecido ou puder ser adivinhado. **Recomendações** Atualize o Rocket.Chat para a versão 7.8.6 ou posterior. Atualize o Rocket.Chat para a versão 7.9.8 ou posterior. Atualize o Rocket.Chat para a versão 7.10.7 ou posterior. Atualize o Rocket.Chat para a versão 7.11.4 ou posterior. Atualize o Rocket.Chat para a versão 7.12.4 ou posterior. Atualize o Rocket.Chat para a versão 7.13.3 ou posterior. Atualize o Rocket.Chat para a versão 8.0.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Rocket.Chat versions prior to 7.10.8 Rocket.Chat versions prior to 7.11.5 Rocket.Chat versions prior to 7.12.5 Rocket.Chat versions prior to 7.13.4 Rocket.Chat versions prior to 8.0.2 Rocket.Chat versions prior to 8.1.1 Rocket.Chat versions prior to 8.2.0 **Description** Rocket.Chat is a communications platform. Authentication issues exist in the enterprise DDP Streamer service. The `Account.login` method, exposed through the DDP Streamer, does not enforce Two-Factor Authentication (2FA) or validate user account status, allowing deactivated users to log in. These checks are normally required in the standard Meteor login process. **Recommendations** Update to Rocket.Chat version 7.10.8 or later. Update to Rocket.Chat version 7.11.5 or later. Update to Rocket.Chat version 7.12.5 or later. Update to Rocket.Chat version 7.13.4 or later. Update to Rocket.Chat version 8.0.2 or later. Update to Rocket.Chat version 8.1.1 or later. Update to Rocket.Chat version 8.2.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** NocoDB versões anteriores à versão 0.301.3 **Descrição** O NocoDB é um software para criar bancos de dados como planilhas. Nas versões anteriores à 0.301.3, comentários renderizados via `v-html` sem sanitização permitem Cross-Site Scripting (XSS) armazenado. Isso permite a injeção de scripts maliciosos nos comentários, os quais são executados quando outros usuários visualizam esses comentários. A diretiva `v-html` contorna a codificação HTML padrão, possibilitando que atacantes executem código JavaScript arbitrário no contexto da aplicação. **Recomendações** Atualize para a versão 0.301.3 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do NocoDB anteriores a 0.301.3 Descrição O NocoDB é um software para criar bancos de dados em formato de planilhas. Antes da versão 0.301.3, o conteúdo de células de texto rico renderizado via `v-html` sem sanitização permite a ocorrência de cross-site scripting armazenado (XSS). O problema ocorre porque o conteúdo é renderizado sem sanitização adequada, o que pode permitir a execução de scripts maliciosos. Recomendações Atualize para a versão 0.301.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Spree anteriores a 5.0.8 Versões do Spree anteriores a 5.1.10 Versões do Spree anteriores a 5.2.7 Versões do Spree anteriores a 5.3.2 **Descrição** O Spree, uma solução de comércio eletrônico de código aberto, contém uma falha na qual usuários não autenticados podem visualizar pedidos de convidados concluídos usando o ID do pedido. Isso pode levar à divulgação de Informações Pessoalmente Identificáveis (PII) de usuários convidados, incluindo nomes, endereços e números de telefone. O problema se deve à ação `OrdersController#show`, que permite a consulta do pedido por número sem exigir o token associado ao pedido. A função `authorize access` não aplica corretamente a autorização para pedidos de convidados. Um atacante com um ID de pedido vazado, ou por meio de força bruta, pode acessar os detalhes do pedido por meio do endpoint da API `/orders/{id}`. Os IDs dos pedidos são gerados de forma segura, mas possuem entropia relativamente baixa, o que pode tornar viáveis ataques de força bruta. **Recomendações** Versões anteriores a 5.0.8 devem ser atualizadas para a versão 5.0.8 ou posterior. Versões anteriores a 5.1.10 devem ser atualizadas para a versão 5.1.10 ou posterior. Versões anteriores a 5.2.7 devem ser atualizadas para a versão 5.2.7 ou posterior. Versões anteriores a 5.3.2 devem ser atualizadas para a versão 5.3.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Spree anteriores a 4.10.3 Versões do Spree anteriores a 5.0.8 Versões do Spree anteriores a 5.1.10 Versões do Spree anteriores a 5.2.7 Versões do Spree anteriores a 5.3.2 **Descrição** Existe uma vulnerabilidade IDOR no fluxo de checkout para convidados do Spree Commerce. Isso permite que um usuário convidado manipule parâmetros de ID de endereço e vincule endereços arbitrários de convidados ao seu pedido. Isso possibilita o acesso não autorizado às informações pessoalmente identificáveis (PII) de outros convidados, incluindo nomes, endereços e números de telefone. O problema contorna as verificações de validação de propriedade existentes e afeta todas as transações de checkout para convidados. A vulnerabilidade origina-se de uma validação de autorização incompleta na lógica de atribuição de endereço de checkout do Spree, especificamente na forma como parâmetros de ID simples (`bill address id` e `ship address id`) são manipulados sem a devida validação. A lógica de atribuição vulnerável reside nos setters `bill address id=` e `ship address id=` dentro do modelo `spree/order/address book.rb`. Esses setters verificam se `address.user id == order.user id`, o que avalia como verdadeiro para pedidos de convidados (nil == nil), contornando efetivamente a verificação de segurança pretendida. Os atributos permitidos em `spree/permitted attributes.rb` permitem `bill address id` e `ship address id` sem validação, e o processo de atualização do checkout em `spree/order/checkout.rb` aplica esses parâmetros diretamente ao modelo Order. **Recomendações** Atualize para a versão 4.10.3 do Spree ou posterior. Atualize para a versão 5.0.8 do Spree ou posterior. Atualize para a versão 5.1.10 do Spree ou posterior. Atualize para a versão 5.2.7 do Spree ou posterior. Atualize para a versão 5.3.2 do Spree ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do NocoDB anteriores a 0.301.0 **Descrição** O NocoDB possui uma vulnerabilidade de cross-site scripting (XSS) armazenado na manipulação de seus anexos. Usuários autenticados podem fazer upload de arquivos SVG maliciosos contendo JavaScript incorporado. Esses arquivos são renderizados inline e executados nos navegadores de outros usuários que visualizam o anexo. A causa raiz são verificações de tipo MIME excessivamente permissivas e a falta de sanitização de conteúdo ao servir arquivos SVG. Especificamente, a função `isPreviewAllowed` em `attachmentHelpers.ts` utiliza uma verificação baseada em substring que classifica incorretamente arquivos SVG como seguros para visualização. O endpoint `fileReadv3` em `attachments.controller.ts` serve esses arquivos sem sanitização ou imposição de tipo de conteúdo, permitindo que navegadores executem o JavaScript incorporado sob a origem da aplicação NocoDB. A exploração bem-sucedida pode levar ao comprometimento de conta, exfiltração de dados e ações não autorizadas realizadas em nome dos usuários afetados. **Recomendações** Versões anteriores a 0.301.0 devem ser atualizadas para a versão 0.301.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do NocoDB anteriores a 0.301.0 **Descrição** Um redirecionamento não validado, especificamente um redirecionamento aberto, existe no fluxo de login do NocoDB devido à validação insuficiente do parâmetro `continueAfterSignIn`. Durante a autenticação, o NocoDB processa um valor de redirecionamento controlado pelo usuário e navega para a URL especificada sem restrições à sua origem, domínio ou protocolo. Isso permite que atacantes redirecionem usuários autenticados para sites externos arbitrários após o login, possivelmente habilitando ataques de phishing ao explorar a confiança do usuário no processo legítimo de login do NocoDB. O problema não permite a execução arbitrária de código ou elevação de privilégio, mas compromete a integridade da autenticação. O componente vulnerável utiliza uma expressão regular `^(https?:)?///` para validar URLs, o que permite qualquer URL HTTP(S) e URLs relativas ao protocolo. A função `navigateTo()` então realiza o redirecionamento com base nessa validação. Um atacante pode criar uma URL de login maliciosa contendo um destino de redirecionamento controlado, como `https://victim-nocodb.example/#/signin?continueAfterSignIn=https://evil-phishing.com/fake-login`, para redirecionar usuários para um site de phishing após a autenticação bem-sucedida. **Recomendações** Versões anteriores a 0.301.0 devem ser atualizadas para a versão 0.301.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: HomeAssistant-Tapo-Control versões anteriores ao commit 2a3b80f Descrição: O HomeAssistant-Tapo-Control, um componente que oferece controle para câmeras Tapo dentro do Home Assistant, continha uma vulnerabilidade de injeção de código no workflow do GitHub Actions localizado em `.github/workflows/issues.yml`. A vulnerabilidade decorreu da inserção direta de conteúdo controlado pelo usuário, proveniente do corpo da issue (`github.event.issue.body`), em um condicional Bash sem a devida sanitização. Isso permitiu que um usuário malicioso do GitHub elaborasse um corpo de issue capaz de executar comandos arbitrários no runner do GitHub Actions com privilégios elevados durante a criação da issue. O impacto limita-se ao ambiente de CI/CD do repositório, podendo expor potencialmente o conteúdo do repositório ou secrets do GitHub Actions. Recomendações: Desabilite o workflow afetado (`issues.yml`). Substitua a comparação Bash insegura por um grep seguro entre aspas ou por uma verificação de expressão pura do GitHub Actions. Garanta permissões mínimas nos workflows (permissions: block) para reduzir o impacto potencial.

Nome do Software Vulnerável e Versões Afetadas: Versões do OpenKilda anteriores à 1.164.0 Descrição: O OpenKilda, um controlador OpenFlow de código aberto, contém uma vulnerabilidade de injeção de entidade externa XML (XXE). Esta vulnerabilidade, em combinação com a GHSL-2025-024, permite que atacantes não autenticados exfiltrem informações da instância onde a UI do OpenKilda está em execução, potencialmente levando à divulgação de informações. Recomendações: Atualize para a versão 1.164.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Umbrel anteriores à 1.2.2 **Descrição** A funcionalidade de login do Umbrel contém uma vulnerabilidade de cross-site scripting (XSS) refletida no arquivo `use-auth.tsx`. Um invasor pode especificar um parâmetro de consulta `redirect` malicioso para acionar a vulnerabilidade. Se uma URL JavaScript for passada para o parâmetro `redirect`, o JavaScript fornecido pelo invasor será executado após o usuário digitar sua senha e clicar em “login”. **Recomendações** Para versões anteriores à 1.2.2, atualize para a versão 1.2.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a funcionalidade de login até que um patch esteja disponível. Restrinja o acesso ao módulo `use-auth.tsx` para minimizar o risco de exploração. Evite usar o parâmetro `redirect` na funcionalidade de login até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do OpenC3 COSMOS anteriores à 5.19.0 **Descrição** Uma vulnerabilidade de traversal de caminho dentro do método `open local file` do `LocalMode` permite que um usuário autenticado com permissões adequadas baixe qualquer arquivo `.txt` por meio do `ScreensController#show` no servidor web em que o COSMOS está sendo executado, dependendo das permissões do arquivo. Esse problema pode levar à divulgação de informações. **Recomendações** Para versões anteriores à 5.19.0, atualize para a versão 5.19.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint `ScreensController#show` ou limitar as permissões dos usuários autenticados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenC3 COSMOS Open Source Edition anteriores à 5.19.0 **Descrição** A funcionalidade de login do OpenC3 COSMOS contém uma vulnerabilidade de cross-site scripting (XSS) refletido. Esse problema pode levar à execução remota de código (RCE). A vulnerabilidade afeta a Open Source Edition, não a OpenC3 COSMOS Enterprise Edition. **Recomendações** Para versões do OpenC3 COSMOS Open Source Edition anteriores à 5.19.0, atualize para a versão 5.19.0 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de login até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do OpenC3 COSMOS anteriores à 5.19.0 **Descrição** O OpenC3 COSMOS armazena a senha de um usuário sem criptografia no LocalStorage de um navegador da web. Isso torna a senha do usuário suscetível a exfiltração por meio de Cross-site scripting. O problema pode levar à divulgação de informações. Isso afeta apenas a edição Open Source, e não a OpenC3 COSMOS Enterprise Edition. **Recomendações** Para versões anteriores à 5.19.0, atualize para a versão 5.19.0 para resolver o problema. Como solução temporária, considere limpar o LocalStorage do navegador da web para minimizar o risco de exfiltração de senha. Restrinja o acesso a dados confidenciais e sistemas embarcados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do openHAB anteriores à 4.2.1 **Descrição** O problema diz respeito ao complemento CometVisu do openHAB, que possui pontos de extremidade do sistema de arquivos que não exigem autenticação. Além disso, o ponto de extremidade para atualizar um arquivo existente é suscetível a traversal de caminho, possibilitando que um invasor sobrescreva arquivos existentes na instância do openHAB. Se o arquivo sobrescrito for um script de shell executado posteriormente, isso pode permitir a execução remota de código por um invasor. **Recomendações** Para versões do openHAB anteriores à 4.2.1, atualize para a versão 4.2.1 para receber um patch. Como solução temporária, considere restringir o acesso aos endpoints do sistema de arquivos para minimizar o risco de exploração. Evite usar o endpoint para atualizar um arquivo existente até que o problema seja resolvido.