Patrick Figel

**Nome do software vulnerável e versões afetadas** Versões do CiviCRM 5.22.x a 5.24.x anteriores à 5.24.3 Versões do CiviCRM anteriores à 5.21.3 **Descrição** A vulnerabilidade no CiviCRM está relacionada à possibilidade de fazer upload e executar arquivos PHAR. A exploração dessa vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. **Recomendações** Para versões do CiviCRM anteriores à 5.21.3, atualize para a versão 5.21.3 ou posterior. Para as versões do CiviCRM 5.22.x a 5.24.x anteriores à 5.24.3, atualize para a versão 5.24.3 ou posterior. Como solução temporária, considere restringir a capacidade de carregar e executar arquivos PHAR até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** PEAR HTML QuickForm versions 3.2.14 and earlier **Description** The issue concerns an eval injection that can lead to possible information disclosure, impact on data integrity, and execution of arbitrary code. This can be exploited via a specially crafted query string, for example, a malicious URL that injects unauthorized code. The `getSubmitValue` method, `validate` method, ` setOptions` method, ` findValue` method, and ` prepareValue` method in `HTML QuickForm`, `HTML QuickForm hierselect`, and `HTML QuickForm element` are affected. **Recommendations** For PEAR HTML QuickForm version 3.2.14 and earlier, update to version 3.2.15 to resolve the issue. As a temporary workaround, consider restricting access to the `getSubmitValue`, `validate`, ` setOptions`, ` findValue`, and ` prepareValue` methods until the update is applied. Avoid using specially crafted query strings that could exploit the eval injection vulnerability.