T3L3Sc0P3

**Nome do Software Vulnerável e Versões Afetadas** Press (versões afetadas não especificadas) **Descrição** O Press, um aplicativo customizado do Frappe usado para gerenciar infraestrutura, assinaturas, marketplace e software como serviço (SaaS), contém uma falha no endpoint 'press.api.account.create api secret'. Este endpoint permite gravações no banco de dados e é acessível via método GET, tornando-o suscetível a explorações do tipo Cross-Site Request Forgery (CSRF), onde um invasor poderia enganar um usuário para realizar ações não intencionais. **Recomendações** Restrinja o endpoint 'press.api.account.create api secret' para permitir apenas requisições POST.

**Nome do Software Vulnerável e Versões Afetadas** Press (versões afetadas não especificadas) **Descrição** O Press é um aplicativo customizado do Frappe usado para gerenciar infraestrutura, assinaturas, marketplace e software como serviço (SaaS) no Frappe Cloud. O parâmetro de redirecionamento na página de login é suscetível a Cross-Site Scripting (XSS) refletido, uma falha onde a aplicação inclui dados não confiáveis em uma página web sem a validação adequada, permitindo que um invasor execute scripts no navegador da vítima. **Recomendações** Restrinja os redirecionamentos apenas para URLs internas para evitar a execução de scripts maliciosos por meio do parâmetro de redirecionamento.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Discourse anteriores à versão mais recente **Descrição** O Discourse é uma plataforma de código aberto para discussões comunitárias. Nas versões afetadas, um atacante pode induzir um usuário alvo a alterar seu próprio nome de usuário por meio de um link especialmente elaborado utilizando a rota `activate-account`. **Recomendações** Para versões anteriores à versão mais recente, atualize para a versão mais recente do Discourse para resolver o problema. Como solução temporária, considere restringir o acesso à rota `activate-account` até que a atualização seja aplicada.