Tarek Ramadan

**Name of the Vulnerable Software and Affected Versions** InvoicePlane versions prior to commit debb446c **Description** The software contains an issue related to incorrect access control. Specifically, the `invoices/view` handler does not properly verify ownership before disclosing invoice data. This could allow unauthorized access to sensitive information. The vulnerable component is the `invoices/view` handler. **Recommendations** Update to a version after commit debb446c.

**Nome do Software Vulnerável e Versões Afetadas** Nextcloud Server versão 30.0.0 **Descrição** O Nextcloud Server 30.0.0 contém uma vulnerabilidade de Referência Insegura Direta a Objetos (IDOR) no endpoint `/core/preview`. Um usuário autenticado pode acessar pré-visualizações de arquivos arbitrários pertencentes a outros usuários manipulando o parâmetro `fileId`. Isso permite a divulgação não autorizada de dados sensíveis, como arquivos de texto ou imagens, sem permissões de compartilhamento prévias. Um IDOR ocorre quando uma aplicação fornece acesso direto a objetos com base em entrada fornecida pelo usuário. **Recomendações** Nextcloud Server versão 30.0.0: Restrinja o acesso ao endpoint `/core/preview` ou implemente controles de acesso mais rígidos para prevenir o acesso não autorizado à pré-visualização de arquivos.