Sascha Brendel

**Name of the Vulnerable Software and Affected Versions** Caddy version 2.4.6 **Description** The issue allows attackers to redirect users to phishing websites via crafted URLs due to improper request sanitization. A crafted URL can cause the static file handler to redirect to an attacker-chosen URL, enabling open redirect attacks. **Recommendations** For Caddy version 2.4.6, update to a version that fixes the open redirection vulnerability. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do PwnDoc anteriores à 0.4.0 **Descrição** O problema está relacionado ao tratamento incorreto do JSON Webtoken, levando a um controle de acesso incorreto. Com um JSON Webtoken válido usado para autenticação e autorização, um usuário pode manter privilégios de administrador mesmo após ter sido rebaixado para o privilégio de “usuário”. Além disso, mesmo após a conta de um usuário ser excluída, ele ainda pode acessar o painel de administração, adicionar ou excluir usuários e tem acesso total ao sistema. **Recomendações** Para versões anteriores à 0.4.0, atualize para a versão 0.4.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de JSON Webtokens para autenticação e autorização até que um patch esteja disponível. Restrinja o acesso ao painel de administração para minimizar o risco de exploração. Evite usar o JSON Webtoken para usuários que foram rebaixados para o privilégio de “usuário” ou tiveram suas contas excluídas.