Rasmus Wriedt Larsen

**Nome do software vulnerável e versões afetadas** Versões do Gerapy anteriores à 0.9.9 **Descrição** A vulnerabilidade permite que um usuário autenticado execute comandos arbitrários. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 0.9.9, atualize para a versão 0.9.9 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao sistema para impedir que usuários autenticados executem comandos arbitrários.

**Nome do software vulnerável e versões afetadas** Versões 2.2.23 e anteriores do Django, versões 3.x anteriores à 3.1.12, versões 3.2.x anteriores à 3.2.4 **Descrição** O problema está relacionado a uma possível traversal de diretório por meio do django.contrib.admindocs. Os membros da equipe poderiam usar a visualização TemplateDetailView para verificar a existência de arquivos arbitrários. Se os modelos padrão do admindocs tiverem sido personalizados para mostrar o conteúdo dos arquivos, esse conteúdo também ficaria exposto, permitindo a traversal de diretórios fora dos diretórios raiz dos modelos. **Recomendações** Para as versões 2.2.23 e anteriores do Django, atualize para a versão 2.2.24 ou posterior. Para versões do Django 3.x anteriores à 3.1.12, atualize para a versão 3.1.12 ou posterior. Para versões do Django 3.2.x anteriores à 3.2.4, atualize para a versão 3.2.4 ou posterior. Como solução temporária, considere restringir o acesso à visualização TemplateDetailView em django.contrib.admindocs até que um patch seja aplicado.