Stefan Krause

**Nome do Software Vulnerável e Versões Afetadas** Eveo URVE Web Manager versão 27.02.2025 **Descrição** A aplicação expõe o endpoint `/ internal/pc/vpro.php` para usuários não autenticados, que é vulnerável a Injeção de Comandos do Sistema Operacional. O endpoint aceita um parâmetro de entrada que é passado diretamente para a função `shell exec()` do PHP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Eveo URVE Web Manager versão 27.02.2025 **Descrição** Existe uma falha no Eveo URVE Web Manager que permite Falsificação de Solicitação no Lado do Servidor (SSRF). O endpoint `/ internal/redirect.php` aceita uma URL como entrada, envia uma solicitação para este endereço e reflete o conteúdo na resposta. Isso pode ser usado para solicitar endpoints acessíveis apenas pelo servidor da aplicação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.