Patrickhener

**Nome do Software Vulnerável e Versões Afetadas** goshs versões anteriores a 2.0.2 **Descrição** O manipulador de upload PUT em `httpserver/updown.go` carece de validação de token Cross-Site Request Forgery (CSRF). CSRF é um tipo de ataque que engana a vítima para enviar uma solicitação maliciosa. Esta deficiência, combinada com o cabeçalho `Access-Control-Allow-Origin: *` incondicional no manipulador de pré-vôo OPTIONS em `httpserver/server.go`, permite que qualquer site escreva arquivos arbitrários em uma instância do goshs através do navegador da vítima, ignorando o isolamento de rede, como localhost ou redes internas. **Recomendações** Atualize para a versão 2.0.2.

**Nome do software vulnerável e versões afetadas** Secudos DOMOS versão 5.8 **Descrição** A vulnerabilidade permite que invasores remotos executem comandos arbitrários como root por meio de metacaracteres de shell no campo `zone`, que podem ser obtidos pela interface web. Isso está relacionado ao `conf datetime` no Secudos DOMOS. **Recomendações** Para o Secudos DOMOS versão 5.8, considere restringir o acesso à interface web para minimizar o risco de exploração e evite usar metacaracteres de shell no campo `zone` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.