Stypr

**Nome do software vulnerável e versões afetadas** Versões do Pi-hole anteriores à 5.8 **Descrição** O problema afeta a interface web do Pi-hole, que é baseada no AdminLTE, permitindo a execução de scripts entre sites (cross-site scripting) ao adicionar um cliente pela página de gerenciamento de grupos e clientes. Esse problema foi corrigido na versão 5.8. **Recomendações** Para versões anteriores à 5.8, atualize para a versão 5.8 para resolver o problema. Como solução temporária, considere restringir o acesso à página de gerenciamento de grupos e clientes até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** SOY Inquiry versões 2.0.0.3 e anteriores **Descrição** A vulnerabilidade afeta o componente SOY Inquiry do SOY CMS, permitindo que invasores remotos forcem administradores a editar arquivos ao carregar uma página da Web especialmente criada para esse fim. Isso pode ocorrer quando um administrador estiver conectado. **Recomendações** Para as versões 2.0.0.3 e anteriores do SOY Inquiry, atualize para a versão 2.0.0.4 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** SoyCMS versões 3.0.2 e anteriores **Descrição** A vulnerabilidade permite que invasores remotos forcem o administrador a editar arquivos assim que ele carregar uma página da Web especialmente criada para esse fim, levando à execução remota de código (RCE) devido a um ataque de Cross-Site Scripting refletido (XSS). **Recomendações** Para as versões 3.0.2 e anteriores do SoyCMS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 4.3.6 e anteriores do baserCMS Versões 4.2.0 a 4.3.6 do baserCMS Versões 3.0.10 a 4.3.6 do baserCMS **Descrição** A vulnerabilidade afeta o baserCMS, permitindo Cross Site Scripting (XSS) e Execução Remota de Código (RCE) devido ao upload arbitrário de arquivos. Isso pode ser executado ao fazer login como administrador do sistema e enviar um arquivo de script executável, como um arquivo PHP. Os componentes afetados são ThemeFilesController.php e UploaderFilesController.php. **Recomendações** Para as versões 4.3.6 e anteriores, atualize para a versão 4.3.7 para resolver o problema. Para as versões 4.2.0 a 4.3.6, atualize para a versão 4.3.7 para mitigar o risco de XSS. Para as versões 3.0.10 a 4.3.6, atualize para a versão 4.3.7 para mitigar o risco de RCE. Como solução temporária, considere restringir o acesso aos componentes ThemeFilesController.php e UploaderFilesController.php até que um patch seja aplicado. Evite fazer upload de arquivos de script executáveis, como arquivos PHP, para minimizar o risco de exploração.