Paweł Hałdrzyński

**Nome do software vulnerável e versões afetadas** Versões do plugin Craft CMS Comments anteriores à 1.5.5 **Descrição** Foi detectada uma vulnerabilidade de XSS armazenado relacionada ao nome de um volume de recursos. **Recomendações** Para versões anteriores à 1.5.5, atualize para a versão 1.5.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Craft CMS Comments anteriores à 1.5.5 **Descrição** Uma falha compromete a integridade dos comentários devido a CSRF. **Recomendações** Para versões anteriores à 1.5.5, atualize para a versão 1.5.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Plugin Comments para versões do Craft CMS anteriores à 1.5.6 **Descrição** O problema está relacionado a um ataque XSS armazenado por meio do nome de um usuário convidado. Isso permite que código malicioso seja armazenado e executado quando um usuário interage com o componente afetado. **Recomendações** Para versões anteriores à 1.5.6, atualize para a versão 1.5.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin Comentários até que a atualização seja aplicada. Evite usar o campo de nome de convidado no plugin Comentários até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do plugin Knock Knock anteriores à 1.2.8 **Descrição** A vulnerabilidade permite contornar a lista de IPs autorizados por meio do cabeçalho HTTP X-Forwarded-For. Isso significa que um invasor pode, potencialmente, contornar a lista de IPs autorizados manipulando o cabeçalho X-Forwarded-For nas solicitações HTTP. **Recomendações** Para versões anteriores à 1.2.8, atualize para a versão 1.2.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a áreas confidenciais do Craft CMS para minimizar o risco de exploração. Evite confiar exclusivamente na lista de IPs autorizados para segurança até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do plugin Knock Knock anteriores à 1.2.8 **Descrição** A vulnerabilidade permite redirecionamentos maliciosos. **Recomendações** Para versões anteriores à 1.2.8, atualize para a versão 1.2.8 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões anteriores à 2.0.9 do plugin Image Resizer para o Craft CMS **Descrição** O problema está relacionado a falhas de CSRF na ação do controlador `log-clear` do plugin afetado. **Recomendações** Para versões anteriores à 2.0.9, atualize para a versão 2.0.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação do controlador log-clear para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin Image Resizer anteriores à 2.0.9 para o Craft CMS **Descrição** O problema diz respeito a um XSS armazenado na ação “Bulk Resize”. **Recomendações** Para versões anteriores à 2.0.9, atualize para a versão 2.0.9 ou posterior para resolver o problema. Como solução temporária, considere desativar a ação Bulk Resize até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Sprout Forms anteriores à 3.9.0 **Descrição** Existe uma possível vulnerabilidade de injeção de modelo no lado do servidor no Sprout Forms, que poderia levar à execução de código Twig ao usar campos personalizados em e-mails de notificação. **Recomendações** Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 para corrigir o problema. Como solução alternativa temporária para usuários que não possam atualizar, atualize todos os e-mails de notificação para usar o modelo “Notificação básica (Sprout Email)” e evite usar o modelo “Notificação básica (Sprout Forms)” ou quaisquer modelos personalizados que exibam campos de formulário.