Susen2

**Nome do Software Vulnerável e Versões Afetadas** Bugsink versões anteriores a 2.2.0 **Description** Bugsink é uma ferramenta de rastreamento de erros auto-hospedada. Existe um problema de autorização de limite de projeto na visualização da lista de problemas, que suporta ações em massa, como resolver ou silenciar problemas selecionados. O sistema autoriza o acesso com base no projeto especificado na URL, mas aplica ações em massa aos IDs de problemas enviados sem verificar se esses problemas pertencem ao projeto autorizado. Isso permite que um usuário autenticado com acesso a um projeto modifique o estado de um problema em outro projeto, desde que possua um UUID de problema válido. Como os UUIDs não são facilmente adivinháveis e não há um caminho de enumeração, o risco é limitado. Além disso, como o software é normalmente auto-hospedado em um único domínio de confiança ou implantado em instâncias separadas por locatário, isso normalmente não resulta em acesso entre locatários. **Recommendations** Atualizar para a versão 2.2.0.

**Name of the Vulnerable Software and Affected Versions** Craft CMS versions 4.0.0-RC1 through 4.17.7 Craft CMS versions 5.0.0-RC1 through 5.9.13 **Description** A low-privileged authenticated user can access editor response data, including `focalPoint`, for private assets they are not authorized to view. The `/assets/image-editor` API endpoint returns private editing metadata without proper authorization checks. The issue stems from the `actionImageEditor()` function accepting an `assetId` without validating the user's access rights to the corresponding asset before returning data such as `html` and `focalPoint`. **Recommendations** Update to Craft CMS version 4.17.8 or later. Update to Craft CMS version 5.9.14 or later.