Shin24

**Nome do Software Vulnerável e Versões Afetadas** Versões do Drupal core de 8.0.0 a 10.3.12 Versões do Drupal core de 10.4.0 a 10.4.2 Versões do Drupal core de 11.0.0 a 11.0.11 Versões do Drupal core de 11.1.0 a 11.1.2 **Descrição** O problema está relacionado a uma vulnerabilidade de Modificação Impropriamente Controlada de Atributos de Objeto Determinados Dinamicamente, que permite Injeção de Objeto no Drupal core. **Recomendações** Para versões de 8.0.0 a 10.3.12, atualize para a versão 10.3.13 ou posterior. Para versões de 10.4.0 a 10.4.2, atualize para a versão 10.4.3 ou posterior. Para versões de 11.0.0 a 11.0.11, atualize para a versão 11.0.12 ou posterior. Para versões de 11.1.0 a 11.1.2, atualize para a versão 11.1.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Apache OFBiz anteriores à 18.12.16 **Descrição** O problema é uma vulnerabilidade de Solicitação Direta (“Navegação Forçada”) no Apache OFBiz, que poderia permitir que invasores executassem código arbitrário em servidores Linux e Windows vulneráveis. Essa vulnerabilidade tem sido ativamente explorada por hackers, com mais de 25.000 solicitações direcionadas a 4.000 sites únicos detectadas pela Imperva. A vulnerabilidade afeta versões do Apache OFBiz anteriores à 18.12.16. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem para a versão 18.12.16, que corrige a vulnerabilidade. Como solução temporária, considere restringir o acesso aos componentes vulneráveis até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do MyBB anteriores à 1.8.38 **Descrição** O módulo de gerenciamento de backups do Painel de Controle do Administrador (Admin CP) no MyBB pode aceitar `.htaccess` como nome do arquivo de backup a ser excluído, expondo potencialmente os arquivos de backup armazenados via HTTP em servidores Apache. **Recomendações** Para versões do MyBB anteriores à 1.8.38, atualize para o MyBB 1.8.38 para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo de gerenciamento de backups no Painel de Controle do Administrador até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do MyBB anteriores à 1.8.38 **Descrição** A lista padrão de hosts remotos não permitidos no MyBB não contém o bloco `127.0.0.0/8`, o que pode resultar em um problema de falsificação de solicitação do lado do servidor (SSRF). A lista Endereços Remotos Proibidos do arquivo de configuração (`$config[‘disallowed remote addresses’]`) contém o endereço `127.0.0.1`, mas não inclui o bloco completo `127.0.0.0/8`. Os administradores de fóruns instalados devem atualizar a configuração existente (`inc/config.php`) para incluir todos os endereços bloqueados por padrão. Recomenda-se que os usuários verifiquem se ela inclui quaisquer outros endereços IPv4 que apontem para o servidor e outros recursos internos. **Recomendações** Para versões do MyBB anteriores à 1.8.38, atualize para o MyBB 1.8.38 para resolver o problema. Como solução temporária, considere adicionar manualmente `127.0.0.0/8` à lista de endereços não permitidos no arquivo de configuração (`inc/config.php`) até que um patch esteja disponível. Restrinja o acesso a recursos internos e verifique se a configuração inclui quaisquer outros endereços IPv4 que apontem para o servidor, a fim de minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** phpBB versions up to 3.3.10 **Description** A problematic issue has been found in phpBB, affecting the function main of the file phpBB/includes/acp/acp icons.php of the component Smiley Pack Handler. The manipulation of the argument `pak` leads to cross-site scripting. The attack may be initiated remotely. Upgrading to version 3.3.11 is able to address this issue. **Recommendations** For phpBB versions up to 3.3.10, upgrade to version 3.3.11 to address the issue. As a temporary workaround, consider restricting access to the vulnerable component Smiley Pack Handler until the upgrade is applied. Avoid using the argument `pak` in the affected function main until the issue is resolved.