Singetu0096

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft anteriores a 4.17.4 Versões do Craft anteriores a 5.9.7 **Descrição** O Craft CMS apresenta uma vulnerabilidade de Falsificação de Requisição Entre Sites (CSRF) no endpoint do token de visualização. O endpoint, localizado em `/actions/preview/create-token`, aceita um `previewToken` fornecido pelo atacante. A ação não requer uma requisição POST e não exige um token CSRF, permitindo que um atacante force um editor autenticado a gerar um token de visualização escolhido pelo atacante. Esse token pode então ser usado pelo atacante, sem autenticação, para acessar conteúdo visualizado ou não publicado autorizado para o escopo de visualização da vítima. **Recomendações** Atualize para a versão 4.17.4 do Craft ou posterior. Atualize para a versão 5.9.7 do Craft ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Craft 4.0.0-RC1 até 4.16.5 Versões do Craft 5.0.0-RC1 até 5.8.6 Descrição: O Craft é uma plataforma para criação de experiências digitais. Existe uma vulnerabilidade de execução remota de código devido a uma Injeção de Template no Lado do Servidor (SSTI) no Twig. Recomendações: Atualize para a versão 4.16.6 do Craft ou superior. Atualize para a versão 5.8.7 do Craft ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Craft CMS 4.0.0-RC1 a 4.14.12 Versões do Craft CMS 5.0.0-RC1 a 5.6.15 **Descrição** O Craft é um sistema de gerenciamento de conteúdo que contém uma vulnerabilidade potencial de execução remota de código via Twig SSTI. Este problema pode ser explorado se um atacante tiver acesso de administrador e a opção `ALLOW ADMIN CHANGES` estiver habilitada. Estima-se que cerca de 23.000 dispositivos possam ser afetados. Para mitigar o problema, os usuários devem atualizar para as versões corrigidas 4.14.13 ou 5.6.15. **Recomendações** Para as versões do Craft CMS 4.0.0-RC1 a 4.14.12, atualize para a versão 4.14.13 para resolver o problema. Para as versões do Craft CMS 5.0.0-RC1 a 5.6.15, atualize para a versão 5.6.15 para resolver o problema. Como solução temporária, considere definir `ALLOW ADMIN CHANGES` como false em produção para minimizar o risco de exploração.