Thawphone

**Nome do Software Vulnerável e Versões Afetadas** vaahcms versão 2.3.1 **Descrição** Existe uma vulnerabilidade de cross-site scripting no vaahcms versão 2.3.1. Um atacante remoto pode potencialmente executar código arbitrário através do método de upload dentro da função `storeAvatar()` do arquivo UserBase.php. **Recomendações** Atualize o vaahcms para uma versão mais recente que corrija este problema. Como solução temporária, restrinja o acesso à função `storeAvatar()` no arquivo UserBase.php.

**Nome do Software Vulnerável e Versões Afetadas** WonderCMS versão 3.5.0 **Descrição** A versão 3.5.0 do WonderCMS é vulnerável a Falsificação de Solicitação no Lado do Servidor (SSRF) na funcionalidade de instalação de módulos personalizados. Um administrador autenticado pode fornecer uma URL maliciosa via o parâmetro POST `pluginThemeUrl`. O servidor busca a URL fornecida usando a função `curl exec()` sem validação suficiente, permitindo que um atacante force solicitações HTTP internas ou externas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.