Pikpikcu

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) refletido na página de login. Isso se deve à sanitização ou codificação insuficiente do parâmetro `username` recebido da URL. O valor do parâmetro `username` é exibido diretamente no elemento de entrada da página de login sem filtragem, permitindo que invasores injetem scripts JavaScript maliciosos. A exploração bem-sucedida pode levar à execução de scripts no lado do cliente, comprometendo potencialmente dados confidenciais, como cookies de sessão, ou redirecionando os usuários para um formulário de login malicioso. Recommendations Atualize para a versão 7.1.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Fanwei E-Office versões <= 9.4 Descrição: Existe uma vulnerabilidade de upload de arquivo não autenticado na interface de gerenciamento web, afetando o endpoint "/general/index/UploadFile.php". Este endpoint não valida adequadamente os arquivos enviados quando invocado com certos parâmetros, como `uploadType=eoffice logo` ou `uploadType=theme`. Um atacante pode explorar essa falha enviando uma requisição HTTP POST manipulada para fazer upload de arquivos arbitrários sem autenticação, potencialmente permitindo a execução remota de código no servidor afetado. Isso poderia levar ao comprometimento completo da aplicação web e do sistema subjacente. Recomendações: Para as versões do Fanwei E-Office <= 9.4, como solução temporária, considere desabilitar o endpoint "/general/index/UploadFile.php" até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o parâmetro `uploadType` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.