Sheratan4

**Nome do Software Vulnerável e Versões Afetadas** osuuu LightPicture versão 1.2.2 **Descrição** Uma vulnerabilidade crítica foi identificada no osuuu LightPicture, afetando a função de upload no arquivo /app/controller/Api.php. A manipulação do argumento `file` resulta em upload sem restrições. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o osuuu LightPicture versão 1.2.2, considere desativar a função de upload em /app/controller/Api.php até que um patch esteja disponível para prevenir o upload de arquivos sem restrições. Restrinja o acesso ao arquivo /app/controller/Api.php para minimizar o risco de exploração. Evite utilizar o argumento `file` no endpoint da API afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Zorlan SkyCaiji versão 2.9 **Descrição** Uma vulnerabilidade crítica foi encontrada no Zorlan SkyCaiji, afetando a função `fileAction` do arquivo `vendor/skycaiji/app/admin/controller/Tool.php`. A manipulação do argumento `save data` resulta em upload sem restrições. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Como solução temporária, considere desativar a função `fileAction` até que um patch esteja disponível. Restrinja o acesso ao arquivo `vendor/skycaiji/app/admin/controller/Tool.php` para minimizar o risco de exploração. Evite utilizar o argumento `save data` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Zorlan SkyCaiji versão 2.9 **Descrição** Uma vulnerabilidade crítica foi encontrada no Zorlan SkyCaiji, afetando a função `previewAction` do arquivo `vendor/skycaiji/app/admin/controller/Tool.php`. A manipulação do argumento `data` leva à falsificação de solicitação do lado do servidor (SSRF). É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o Zorlan SkyCaiji versão 2.9, como medida de contorno temporária, considere desativar a função `previewAction` até que um patch esteja disponível. Restrinja o acesso ao arquivo `vendor/skycaiji/app/admin/controller/Tool.php` para minimizar o risco de exploração. Evite utilizar o argumento `data` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.