Soulseekah

**Nome do software vulnerável e versões afetadas** Versões do Directus anteriores à 10.10.0 **Descrição** A API de autenticação possui um parâmetro `redirect` que pode ser explorado como uma vulnerabilidade de redirecionamento aberto quando um usuário tenta fazer login por meio da URL da API. Após um login bem-sucedido por meio da solicitação GET da API de autenticação para `/auth/login/google?redirect`, o usuário pode ser redirecionado para um site malicioso. Embora as credenciais não sejam transmitidas ao site do invasor, o usuário pode ser induzido a clicar em um site legítimo do Directus e ser levado a um site malicioso feito para se parecer com uma mensagem de erro, o que pode levar ao roubo de senha. Usuários que fazem login no Directus via OAuth2 podem estar em risco. **Recomendações** Para versões anteriores à 10.10.0, atualize para a versão 10.10.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API `/auth/login/google?redirect` para minimizar o risco de exploração. Evite usar o parâmetro `redirect` no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** FancyBox for WordPress versions prior to 3.0.3 **Description** The issue allows remote attackers to conduct cross-site scripting (XSS) attacks via a `mfbfw[*]` parameter in an update action to "wp-admin/admin-post.php". This has been exploited in the wild, as demonstrated by the `mfbfw[padding]` parameter. **Recommendations** For versions prior to 3.0.3, update to version 3.0.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the "wp-admin/admin-post.php" endpoint to minimize the risk of exploitation. Avoid using the `mfbfw[*]` parameter in the affected endpoint until the issue is resolved.